Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
HiJackThis Log; Trojaner?

HiJackThis Log; Trojaner?


Log-Analyse und Auswertung: HiJackThis Log; Trojaner?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 05.07.2009, 18:43   #1
Dorn
 
HiJackThis Log; Trojaner? - Standard

HiJackThis Log; Trojaner?


Hallo,
seit kurzem habe ich ein kleines Problemchen mit meinem Laptop.
Ich denke, dass sich ein Trojaner eingenistet hat, denn seit gestern (?) funktioniert etwas nichtmehr. Genau weiß ich selber nicht, was passiert ist. Aufjeden Fall wird vieles nicht angezeigt, wie z.B Layouts, Buttons etc. Auch hier im Forum habe ich das Problem. Es sieht dann so aus: h**p://i44.tinypic.com/2sb093b.jpg. Zurzeit ist eine in der Quarantäne, doch eben bekam ich wieder eine Meldung, dass weitere Viren entdeckt worden sind:
Objekt -> Fund

A0112392.dll -> BDS/Pcik.A
A0112393.dll -> BDS/Pcik.A
A0112394.exe -> TR/Crypt.ZPACK.Gen
A0112395.exe -> TR/Crypt.ZPACK.Gen

auch diese wurden erstmal in die Quarantäne gesteckt. Doch ich weiß leider nicht weiter.

--------------------

Mein Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:16:07, on 05.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\sopidkc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\SlimBrowser\sbrowser.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts: ::1 localhost
O1 - Hosts: 209.44.111.62 antispy.microsoft.com
O1 - Hosts: 209.44.111.62 antiaware-pro.com
O1 - Hosts: 209.44.111.62 www.antiaware-pro.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: BHO - {8567edfa-408c-43e9-b929-4c25c04f5003} - C:\WINDOWS\system32\iehelper.dll
O2 - BHO: (no name) - {d032570a-5f63-4812-a094-87d007c23012} - C:\WINDOWS\system32\iebho.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [ZSSnp211] C:\WINDOWS\ZSSnp211.exe
O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [narsozluk] "C:\Programme\narsozluk\narsozluk.exe" -s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [sysldtray] C:\windows\ld12.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Startup: rncsys32.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - http://www.dynageo.de/download/dynageoviewer.cab
O16 - DPF: {34635AA6-B593-4F06-9EDD-5FF60FC13310} (Speaky Chat) - http://download.speakyweb.com/speakyldr.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1223755433
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab?AuthParam=1210085562_0ad93bd96f23c056bc0f1f2c3b4c65d5&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab&File=jinstall-6u5-windows-i586-jc.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1209927466
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.yayindayiz.biz/codec/nsvplayx_vp6_mp3.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F554} (Flatcast Viewer 4.16) - http://data.flatcast.com/data/objects/NpFv41629.dll
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{81AAE708-2393-40EA-8B37-7788B926DF95}: NameServer = 217.0.43.193 217.0.43.1
O20 - AppInit_DLLs: ,C:\DOKUME~1\PELIN_~1\LOKALE~1\Temp\8705367340mxx.dll
O23 - Service: Avira AntiVir Planer (antivirschedulerservice) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (antivirservice) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: sopidkc Service (sopidkc) - NewYork DVD LT - C:\WINDOWS\system32\sopidkc.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 8211 bytes


Vielen vielen Dank.

Alt 05.07.2009, 21:35   #2
Swisstreasure
/// Malwareteam
 
HiJackThis Log; Trojaner? - Standard

HiJackThis Log; Trojaner?


Da ist einiges drauf was nicht drauf gehört.

1.
Lass mal folgende Datei bei www.virustotal.com/de prüfen und poste das Ergebnis:

C:\WINDOWS\system32\sopidkc.exe
C:\Windows\System32\rncsys32.exe
C:\windows\ld12.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

2.
Danach lösche die temp Dateien mit CCleaner

3.
Dienste beenden:
Start-->Ausführen kopiere rein:services.msc Klicke OK
Suche sopidkc oder NewYork DVD LT und beende diesen Process

Start-->Ausführen kopiere rein:
sc stop sopidkc
Klicke OK

Nochmal dasselbe kopiere rein:
sc delete sopidkc
Klicke OK

Rechner neu Starten

4.
Fixwareout
Download Fixwareout auf den Desktop
Doppelklick Fixwareout.exe um es zu starten
Klicke Next und dan auf Install, achte darauf das Run fixit angehaakt ist und klick Finish.
Der Fix faengt an und folge die Instruktion im Fenster
Wenn gefragt wird dein Rechner neu zu starten,starte neu
Dein Rechner startet jetzt langsamer das ist normal
Poste den Inhalt von C:\fixwareout\report.txt (report.txt).


5.
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)


6.
Wende Combofix an und poste das Log:


7.
Nun poste ein neues HJT Log.


Gruss Swiss
__________________
Alt 06.07.2009, 14:54   #3
Dorn
 
HiJackThis Log; Trojaner? - Standard

HiJackThis Log; Trojaner?


Vielen Dank für die schnelle Anwort.
Hier mal die Ergebnisse:

C:\WINDOWS\system32\sopidkc.exe :


a-squared 4.5.0.18 2009.07.06 Trojan.Win32.Koblu!IK
AhnLab-V3 5.0.0.2 2009.07.06 -
AntiVir 7.9.0.204 2009.07.06 TR/Koblu.TO
Antiy-AVL 2.0.3.1 2009.07.06 -
Authentium 5.1.2.4 2009.07.05 -
Avast 4.8.1335.0 2009.07.05 Win32:Refpron-AJ
AVG 8.5.0.386 2009.07.05 -
BitDefender 7.2 2009.07.06 -
CAT-QuickHeal 10.00 2009.07.06 -
ClamAV 0.94.1 2009.07.03 -
Comodo 1538 2009.07.02 -
DrWeb 5.0.0.12182 2009.07.06 -
eSafe 7.0.17.0 2009.07.02 -
eTrust-Vet 31.6.6598 2009.07.06 -
F-Prot 4.4.4.56 2009.07.05 -
F-Secure 8.0.14470.0 2009.07.06 Trojan.Win32.Koblu.to
Fortinet 3.117.0.0 2009.07.03 -
GData 19 2009.07.06 Win32:Refpron-AJ
Ikarus T3.1.1.64.0 2009.07.06 Trojan.Win32.Koblu
Jiangmin 11.0.706 2009.07.06 -
K7AntiVirus 7.10.783 2009.07.03 -
Kaspersky 7.0.0.125 2009.07.06 Trojan.Win32.Koblu.to
McAfee 5667 2009.07.05 -
McAfee+Artemis 5667 2009.07.05 -
McAfee-GW-Edition 6.8.5 2009.07.06 Heuristic.LooksLike.Win32.NewMalware.H
Microsoft 1.4803 2009.07.06 Backdoor:Win32/Refpron.gen!C
NOD32 4220 2009.07.06 -
Norman 6.01.09 2009.07.04 -
nProtect 2009.1.8.0 2009.07.05 -
Panda 10.0.0.14 2009.07.06 Trj/CI.A
PCTools 4.4.2.0 2009.07.06 -
Prevx 3.0 2009.07.06 Medium Risk Malware
Rising 21.37.02.00 2009.07.06 Backdoor.Win32.Small.enk
Sophos 4.43.0 2009.07.06 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.07.05 -
Symantec 1.4.4.12 2009.07.06 -
TheHacker 6.3.4.3.362 2009.07.04 -
TrendMicro 8.950.0.1094 2009.07.06 -
VBA32 3.12.10.7 2009.07.06 -
ViRobot 2009.7.6.1820 2009.07.06 -
VirusBuster 4.6.5.0 2009.07.05 -

weitere Informationen
File size: 98304 bytes
MD5...: 49d0f8b8caa31ad5ed6e237e966bcf10
SHA1..: 128bf842b544546a5e7e74bc57d671ae5973d326
SHA256: 8185432054c2370ed856752e452a9b95f40954fcef317634882c3995c00de192
ssdeep: 1536:invqAExdun0HFO0pFYLfL1bXUKWB4ii4cyi80VYahoxDWHYo4J5osj3hhiU
MwuW/:ExkQ3rL9EKriGvUMoxDeYo8jxhJMPWV

PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13e9c
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x12ef4 0x13000 6.45 37761973018ce7992e28917cdb957f07
DATA 0x14000 0x794 0x800 4.21 a8e37a89ddbad16d27dc1022acf9dd3a
BSS 0x15000 0xb71 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x16000 0x8c8 0xa00 4.31 7dea3f3ae5dc8aa3117b4843f02a089a
.tls 0x17000 0xc 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x18000 0x18 0x200 0.20 3668967f26843d0bc049b1b675038ba5
.reloc 0x19000 0x1adc 0x1c00 6.58 8ec4b55699824a13d8bd05adb53689df
.rsrc 0x1b000 0x1c00 0x1c00 3.94 51f9ee16e7785373f3101916452c4db1

( 7 imports )
> kernel32.dll: GetCurrentThreadId, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, lstrcpyA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, CreateFileA, CloseHandle
> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> oleaut32.dll: VariantChangeTypeEx, VariantCopyInd, VariantClear, SysStringLen, SysFreeString, SysReAllocStringLen, SysAllocStringLen
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA, GetModuleFileNameA
> kernel32.dll: WriteFile, WaitForSingleObject, VirtualQuery, SetFilePointer, SetEndOfFile, ReadFile, LoadLibraryA, LeaveCriticalSection, InitializeCriticalSection, GetVersionExA, GetThreadLocale, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetDiskFreeSpaceA, GetCurrentThreadId, GetCPInfo, FreeLibrary, FormatMessageA, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateFileA, CreateEventA, CompareStringA, CloseHandle
> user32.dll: MessageBoxA, LoadStringA, GetSystemMetrics, DestroyWindow, CharUpperBuffA

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=4CE16504004F81E9807701CFAEAD3000D806DF22' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=4CE16504004F81E9807701CFAEAD3000D806DF22</a>

C:\windows\ld12.exe :


a-squared 4.5.0.18 2009.07.06 Worm.Win32.Koobface!IK
AhnLab-V3 5.0.0.2 2009.07.06 -
AntiVir 7.9.0.204 2009.07.06 TR/FraudPack.pgc
Antiy-AVL 2.0.3.1 2009.07.06 -
Authentium 5.1.2.4 2009.07.05 -
Avast 4.8.1335.0 2009.07.05 Win32:FakeAlert-BV
AVG 8.5.0.386 2009.07.05 -
BitDefender 7.2 2009.07.06 Win32.Worm.Koobface.AEO
CAT-QuickHeal 10.00 2009.07.06 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.07.03 -
Comodo 1538 2009.07.02 -
DrWeb 5.0.0.12182 2009.07.06 Trojan.DownLoad.40043
eSafe 7.0.17.0 2009.07.02 Suspicious File
eTrust-Vet 31.6.6598 2009.07.06 -
F-Prot 4.4.4.56 2009.07.05 -
F-Secure 8.0.14470.0 2009.07.06 Trojan.Win32.FraudPack.pgc
Fortinet 3.117.0.0 2009.07.03 -
GData 19 2009.07.06 Win32.Worm.Koobface.AEO
Ikarus T3.1.1.64.0 2009.07.06 Worm.Win32.Koobface
Jiangmin 11.0.706 2009.07.06 -
K7AntiVirus 7.10.783 2009.07.03 -
Kaspersky 7.0.0.125 2009.07.06 Trojan.Win32.FraudPack.pgc
McAfee 5667 2009.07.05 Generic.dx!tz
McAfee+Artemis 5667 2009.07.05 Generic.dx!tz
McAfee-GW-Edition 6.8.5 2009.07.06 Heuristic.LooksLike.Win32.NewMalware.H
Microsoft 1.4803 2009.07.06 Worm:Win32/Koobface.gen!D
NOD32 4220 2009.07.06 a variant of Win32/Kryptik.WP
Norman 6.01.09 2009.07.04 W32/Obfuscated.H!genr
nProtect 2009.1.8.0 2009.07.05 -
Panda 10.0.0.14 2009.07.06 Trj/CI.A
PCTools 4.4.2.0 2009.07.06 -
Prevx 3.0 2009.07.06 Medium Risk Malware
Rising 21.37.03.00 2009.07.06 -
Sophos 4.43.0 2009.07.06 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.07.05 Bulk Trojan
Symantec 1.4.4.12 2009.07.06 W32.Koobface.A
TheHacker 6.3.4.3.362 2009.07.04 -
TrendMicro 8.950.0.1094 2009.07.06 -
VBA32 3.12.10.7 2009.07.06 -
ViRobot 2009.7.6.1820 2009.07.06 -
VirusBuster 4.6.5.0 2009.07.05 -

weitere Informationen
File size: 31232 bytes
MD5...: 692e4eaf9a0c6529290e2c881f864ef6
SHA1..: 48e91a0f4c1aecac0349606df5d8e4ce25150c9b
SHA256: ad3c9403cb54d6981bfb413e45f3575ce002c2b0c4e811d6a615303369241ccd
ssdeep: 384:lNhcU0SwlYaDtSoV4CLueEI97OFMv2zFET2AzRnflzV8VOXXOXT:vTwnV4Ci
elCWg6JFnf/XeX

PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x103b
timedatestamp.....: 0x4a4cbd35 (Thu Jul 02 13:59:17 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1000 0x1000 0.49 69ca522643b2c55bce7c7d9fd6ecab22
.rdata 0x2000 0x1000 0x600 3.86 fc1043422628b4981fd9ccd4a0ac5780
.data 0x3000 0x5000 0x4c00 7.90 5c2386f9ed72dede436ece527e6e215b
.rsrc 0x8000 0x30000 0x1400 3.95 2fd342e1537034710df38a2c53220404

( 4 imports )
> kernel32.dll: GetProcAddress, LoadLibraryA, GetVersion, GetModuleHandleA, GetLastError, lstrlenA, GetTickCount
> msvcrt.dll: exit, __set_app_type, __CxxFrameHandler, __p__fmode, wcstoul, __p__commode, __getmainargs, wcschr, toupper, _XcptFilter, _acmdln, _initterm, _c_exit, rand, wcslen, _except_handler3, _controlfp, _exit, _adjust_fdiv
> gdi32.dll: PatBlt, CreateCompatibleDC, LineTo, SetBkMode, SetROP2, MoveToEx, GetPixel, BitBlt, GetStockObject, GetBkColor, DeleteObject, GetTextColor, GetTextMetricsA
> user32.dll: DialogBoxParamA, MessageBoxA, ScreenToClient, DestroyWindow

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=AE387E9D002F29D07A95002DDDE82A0082DBCF40' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=AE387E9D002F29D07A95002DDDE82A0082DBCF40</a>

C:\Windows\System32\rncsys32.exe (wird folgendes angezeigt) :

0 bytes size received / Se ha recibido un archivo vacio

Gelöschte temp. Dateien:

REINIGUNG komplett - (1.642 Sek)
------------------------------------------------------------------------------------------
35,5MB entfernt.
------------------------------------------------------------------------------------------

Details der gelöschten Dateien
------------------------------------------------------------------------------------------
C:\WINDOWS\TEMP\4 Squares_{70621C6C-D8DC-4E59-8F0B-9DED1E1A100F}.xml 2,59KB
C:\WINDOWS\TEMP\50's Movie Reel_{0C31C3E1-7E15-4BE7-9854-AD96B7FA2AE7}.xml 2,65KB
C:\WINDOWS\TEMP\80's Music Video_{417F9037-0213-43C4-86BA-979C9E809CAC}.xml 2,65KB
C:\WINDOWS\TEMP\Alien_{C614E398-5BF5-4703-B19C-9D302288098A}.xml 2,40KB
C:\WINDOWS\TEMP\Arrow_through_head_{A00FE4B0-05E2-494F-B845-2D1ED9C42158}.xml 2,72KB
C:\WINDOWS\TEMP\ASPNETSetup_00000.log 4,46KB
C:\WINDOWS\TEMP\Baby_{00252816-D16C-48DE-99A5-766B63041185}.xml 2,50KB
C:\WINDOWS\TEMP\Blockhead_{2A680E6D-4617-499E-98AE-3F5B9CC21755}.xml 2,64KB
C:\WINDOWS\TEMP\Bulldog_{F4020873-CFEB-4F98-A84E-F248E89C0E23}.xml 2,50KB
C:\WINDOWS\TEMP\Cat_{9C7A29A3-BA63-4579-976D-4D3EE0CE7DFA}.xml 2,42KB
C:\WINDOWS\TEMP\Cat_{EBA2DCAA-3B82-4245-ADDD-9A86308EDCEF}.xml 2,48KB
C:\WINDOWS\TEMP\Chalk_{2DA6ED37-5751-49D9-A5AF-4351BABE130F}.xml 2,54KB
C:\WINDOWS\TEMP\Cotton Candy_{3BF23BA9-4B07-4660-AF05-CD3B45EDA2DB}.xml 2,63KB
C:\WINDOWS\TEMP\Crown_{4D5F0C5E-FCE4-4472-A434-D5FD3969FD64}.xml 2,71KB
C:\WINDOWS\TEMP\dd_netfx20MSI6006.txt 4,37MB
C:\WINDOWS\TEMP\dd_netfx20UI6006.txt 12,96KB
C:\WINDOWS\TEMP\Dinosaur_{17F8B0B2-2ED7-4E38-809C-C42BC55111ED}.xml 2,58KB
C:\WINDOWS\TEMP\etilqs_jdWM8JlWUJciC6g 0 Byte
C:\WINDOWS\TEMP\Fisheye_{394F17FB-B2D0-45B7-ADBE-B0E77246D89E}.xml 2,57KB
C:\WINDOWS\TEMP\Goatee_{09161F3F-1EBD-4781-9EAE-6AB83A674E44}.xml 2,59KB
C:\WINDOWS\TEMP\I See A Ghost_{D5594FF7-6B1A-4AF3-8F21-D7A7F32ED6AD}.xml 2,65KB
C:\WINDOWS\TEMP\Lion_{E66DDA31-2444-4063-879F-E5C019A4722E}.xml 2,48KB
C:\WINDOWS\TEMP\ModelFileHandler.log 93,30KB
C:\WINDOWS\TEMP\Mona Lisa_{6D2F662D-C0A6-4B22-8214-0E6CF43E0335}.xml 2,57KB
C:\WINDOWS\TEMP\Moon_{E71E1B4D-5C32-4792-BFF4-A09D9640AF35}.xml 2,48KB
C:\WINDOWS\TEMP\Mother Nature_{5E8CAF37-B057-4003-B097-8BB0E5952DAA}.xml 2,64KB
C:\WINDOWS\TEMP\mta116393.dll 1,11MB
C:\WINDOWS\TEMP\mta120147.dll 1,11MB
C:\WINDOWS\TEMP\mta25635.dll 1,11MB
C:\WINDOWS\TEMP\mta68628.dll 1,11MB
C:\WINDOWS\TEMP\Neonize_{481A76E6-7496-4674-88A0-7608DBE300D3}.xml 2,57KB
C:\WINDOWS\TEMP\netfxsl.log 14,55KB
C:\WINDOWS\TEMP\NetFxUpdate_v1.1.4322.log 6,88KB
C:\WINDOWS\TEMP\nsw23.tmp\NSIS_Picasa.dll 56,00KB
C:\WINDOWS\TEMP\nsw23.tmp\System.dll 9,00KB
C:\WINDOWS\TEMP\Pig_nose_{52373697-C0A7-40C9-A9D0-F448C0E7A621}.xml 2,61KB
C:\WINDOWS\TEMP\Raccoons_{C7AA1B3E-50D2-49C0-A916-247607BFB791}.xml 2,59KB
C:\WINDOWS\TEMP\Robot_Face_{446DBFE6-4E06-4320-818C-AFCE072048D2}.xml 2,61KB
C:\WINDOWS\TEMP\Shark_{0B0FB8EA-CC0B-4FB8-BFD1-F1AB182761DC}.xml 2,53KB
C:\WINDOWS\TEMP\Shutdown_.txt 262 Byte
C:\WINDOWS\TEMP\Stick_Figure_{A1A13D7E-C668-4046-B7BC-400922F632D4}.xml 2,65KB
C:\WINDOWS\TEMP\Talk to the Hand_{038A0070-5643-411D-9E65-EDF91666D94F}.xml 2,67KB
C:\WINDOWS\TEMP\They're Watching_{E431CEC6-FA6D-469C-A1F0-0A562AFEDA96}.xml 2,70KB
C:\WINDOWS\TEMP\Tiled Up_{13F4D7E5-D931-443D-99AF-E9021029322C}.xml 2,58KB
C:\WINDOWS\TEMP\Upd1.tmp 0 Byte
C:\WINDOWS\TEMP\_Metadata.xml 232 Byte
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\host\7aafb70a-60cb53d0.hst 12 Byte
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\MSN Messenger\1142171494\sqmnoopt00.sqm 1,04KB
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\MSN Messenger\1142171494\sqmnoopt01.sqm 244 Byte
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\MSN Messenger\1142171494\sqmnoopt02.sqm 368 Byte
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\MSN Messenger\1142171494\sqmnoopt03.sqm 244 Byte
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\K77JQRGY\s.ytimg.com\hdTooltipClue.sol 52 Byte
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\K77JQRGY\s.ytimg.com\soundData.sol 49 Byte
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\K77JQRGY\s.ytimg.com\videostats.sol 199 Byte
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#s.ytimg.com\settings.sol 81 Byte
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\K77JQRGY\ui-portal.de\brbtpixel\brbtpixel_03042007.swf\webdecookie.sol 110 Byte
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#ui-portal.de\settings.sol 82 Byte
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4915f271.qua 29,38KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\494dfa64.qua 646 Byte
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a6e61e2.qua 2,56MB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a7e61e5.qua 1,87MB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a8161dd.qua 3,38MB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a81e636.qua 0,97MB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a8361de.qua 4,84MB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a9a7b20.qua 44,48KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a9a7be2.qua 44,48KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a9a868e.qua 44,48KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4a9b6208.qua 28,38KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4ab1622a.qua 94,38KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4ab36218.qua 0,12MB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4ab36220.qua 0,97MB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4abc6213.qua 5,48MB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4abc6214.qua 3,38MB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4abc6222.qua 28,40KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4abd6226.qua 29,40KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4abd7936.qua 44,29KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4abd7937.qua 44,29KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4ac26223.qua 640 Byte
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4ac36211.qua 39,02KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b067abf.qua 29,41KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b0a3f6f.qua 0,97MB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b15a8c9.qua 0,97MB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4b164eb7.qua 28,41KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\LOGFILES\avguard.log 99,77KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\LOGFILES\AVSCAN-20090703-201836-9578CB5A.LOG 33,69KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\LOGFILES\AVSCAN-20090704-173518-39DA56C7.LOG 17,62KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\LOGFILES\AVSCAN-20090704-174253-9AF63E5D.LOG 9,76KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\LOGFILES\AVSCAN-20090704-174712-D241DCBB.LOG 8,52KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\LOGFILES\AVSCAN-20090704-174940-F1CAA5B0.LOG 8,51KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\LOGFILES\AVSCAN-20090704-175027-FBF97BB8.LOG 8,53KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\LOGFILES\AVSCAN-20090704-175036-FDBB4E9B.LOG 8,55KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\LOGFILES\AVSCAN-20090704-175305-1D8C13E3.LOG 17,22KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\LOGFILES\AVSCAN-20090704-175914-6C54B7A5.LOG 17,24KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\LOGFILES\AVSCAN-20090705-173504-F2FF9185.LOG 8,63KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\LOGFILES\AVSCAN-20090705-184100-3F0902EE.LOG 19,81KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\LOGFILES\AVSCAN-20090705-235427-22ADD58B.LOG 16,08KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\LOGFILES\sched.log 10,62KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\LOGFILES\setup.log 77,27KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\LOGFILES\Upd-2009-07-03-20-16-25.log 27,52KB
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\LOGFILES\Upd-2009-07-05-17-18-47.log 9,97KB
------------------------------------------------------------------------------------------


Report:

Username "***" - 06.07.2009 14:40:23 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Der DNS-Auflösungscache wurde geleert.
System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZSSnp211"="C:\\WINDOWS\\ZSSnp211.exe"
"Domino"="C:\\WINDOWS\\Domino.exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.6.0_05\\bin\\jusched.exe\""
"narsozluk"="\"C:\\Programme\\narsozluk\\narsozluk.exe\" -s"
"Adobe Reader Speed Launcher"="\"C:\\Programme\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"sysldtray"="C:\\windows\\ld12.exe"
"avgnt"="\"C:\\Programme\\Avira\\AntiVir Desktop\\avgnt.exe\" /min"
"LogitechCommunicationsManager"="\"C:\\Programme\\Gemeinsame Dateien\\LogiShrd\\LComMgr\\Communications_Helper.exe\""
"LogitechQuickCamRibbon"="\"C:\\Programme\\Logitech\\QuickCam\\Quickcam.exe\" /hide"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\narsozluk]
"narsozluk"="C:\\Programme\\narsozluk\\narsozluk.exe -s"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"msnmsgr"="\"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe\" /background"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~
__________________
Alt 06.07.2009, 14:56   #4
Dorn
 
HiJackThis Log; Trojaner? - Standard

HiJackThis Log; Trojaner?


Malware Log:

Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2379
Windows 5.1.2600 Service Pack 2

06.07.2009 15:10:37
mbam-log-2009-07-06 (15-10-37).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 124287
Laufzeit: 9 minute(s), 46 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 17
Infizierte Registrierungswerte: 13
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 38

Infizierte Speicherprozesse:
C:\WINDOWS\ld12.exe (Worm.KoobFace) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\8705367340mxx.dll (Spyware.OnlineGames) -> Delete on reboot.
c:\WINDOWS\system32\6to4v32.dll (Trojan.Wimpixo) -> Delete on reboot.
C:\WINDOWS\system32\iehelper.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8567edfa-408c-43e9-b929-4c25c04f5003} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{8567edfa-408c-43e9-b929-4c25c04f5003} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6to4 (Trojan.Wimpixo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\6to4 (Trojan.Wimpixo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4 (Trojan.Wimpixo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8567edfa-408c-43e9-b929-4c25c04f5003} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d032570a-5f63-4812-a094-87d007c23012} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcmstub (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\pcmstub (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcmstub (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\msncache (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\drvdrv (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\drv (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_DRV (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysldtray (Worm.KoobFace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\BuildW (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\FirstInstallFlag (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\i (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mms (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mso (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\udso (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Ulrn (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Update (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\UpdateNew (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\drv (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\iehelper.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\iebho.dll (Trojan.BHO.H) -> Delete on reboot.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\8705367340mxx.dll (Spyware.OnlineGames) -> Delete on reboot.
c:\WINDOWS\system32\6to4v32.dll (Trojan.Wimpixo) -> Delete on reboot.
C:\WINDOWS\ld12.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
c:\WINDOWS\9129837.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\logcde.dll (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\cooecp.tlb (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\windef.dll (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\windef.Log (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS\Fonts\winpaged.ocx (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\wiwow64.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\tpsaxyd.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\tpszxyd.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\pcmstub.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\sopidkc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\wbem\proquota.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\fdvjfx.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\lokale einstellungen\Temp\db.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\lokale einstellungen\Temp\installb[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\lokale einstellungen\Temp\iytr5252xxbfjmbe33w3756uss44.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\lokale einstellungen\Temp\jdethtt22jysty234rjwg34g4346.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\lokale einstellungen\Temp\~TM21.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\lokale einstellungen\Temp\8538677354mxx.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\wpv061246410012.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.
c:\WINDOWS\freddy49.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\comsa32.sys (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\wpv791245771011.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\FInstall.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\Anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\Anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\certstore.dat (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\Anwendungsdaten\wiaservg.log (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\bf23567.dat (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\WINDOWS\010112010146118114.dat (Worm.KoobFace) -> Quarantined and deleted successfully.
c:\WINDOWS\0101120101464849.dat (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wiawow32.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\gklrwl.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

Zwar konnte ich Combofix runderladen, doch ich kann es nicht ausführen. Sobald ich combofix öffne, bekomme ich eine Meldung von AntiVir: "C:\32788R22FWJFW\n.pif" -> Die Datei enthält ein ausführbares Programm. Dies word jedoch durch eine harmlose Dateierweiterung verschleiert (HIDDENTEXT/Crypted). Danach kam erneut eine Meldung: "32788R22FWJFW\n.pif" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start", um eine Datei zu suchen.

Und hier nochmal der HJT Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:38:38, on 06.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\System32\svchost.exe
C:\Programme\SlimBrowser\sbrowser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\9129837.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478d38-c3f9-4efb-9b51-7695eca05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: SingleInstance Class - {fdad4da1-61a2-4fd8-9c17-86f7ac245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ZSSnp211] C:\WINDOWS\ZSSnp211.exe
O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [narsozluk] "C:\Programme\narsozluk\narsozluk.exe" -s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Startup: rncsys32.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - http://www.dynageo.de/download/dynageoviewer.cab
O16 - DPF: {34635AA6-B593-4F06-9EDD-5FF60FC13310} (Speaky Chat) - http://download.speakyweb.com/speakyldr.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1223755433
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab?AuthParam=1210085562_0ad93bd96f23c056bc0f1f2c3b4c65d5&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab&File=jinstall-6u5-windows-i586-jc.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1209927466
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.yayindayiz.biz/codec/nsvplayx_vp6_mp3.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F554} (Flatcast Viewer 4.16) - http://data.flatcast.com/data/objects/NpFv41629.dll
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{81AAE708-2393-40EA-8B37-7788B926DF95}: NameServer = 217.0.43.193 217.0.43.1
O20 - AppInit_DLLs: C:\DOKUME~1\PELIN_~1\LOKALE~1\Temp\8705367340mxx.dll
O23 - Service: Avira AntiVir Planer (antivirschedulerservice) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (antivirservice) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 8253 bytes

Alt 06.07.2009, 15:05   #5
Swisstreasure
/// Malwareteam
 
HiJackThis Log; Trojaner? - Standard

HiJackThis Log; Trojaner?


>>
bezüglich Combofix: Versuche einmal das Programm umzubenennen:
http://virus-protect.org/artikel/tools/combofix3.html

Oder vorerst:

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat:
O4 - HKLM\..\Run: [narsozluk] "C:\Programme\narsozluk\narsozluk.exe" -s

O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe

O4 - Startup: rncsys32.exe
und wähle fix checked.

Starte den Rechner neu.

>>
Danach ein neues HJT Log


Gruss swiss


Alt 06.07.2009, 15:26   #6
Dorn
 
HiJackThis Log; Trojaner? - Standard

HiJackThis Log; Trojaner?


HJT Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:21:19, on 06.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Dokumente und Einstellungen\Regenbogen x3\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478d38-c3f9-4efb-9b51-7695eca05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: SingleInstance Class - {fdad4da1-61a2-4fd8-9c17-86f7ac245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ZSSnp211] C:\WINDOWS\ZSSnp211.exe
O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'Default user')
O4 - .DEFAULT Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - http://www.dynageo.de/download/dynageoviewer.cab
O16 - DPF: {34635AA6-B593-4F06-9EDD-5FF60FC13310} (Speaky Chat) - http://download.speakyweb.com/speakyldr.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1223755433
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab?AuthParam=1210085562_0ad93bd96f23c056bc0f1f2c3b4c65d5&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab&File=jinstall-6u5-windows-i586-jc.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1209927466
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.yayindayiz.biz/codec/nsvplayx_vp6_mp3.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F554} (Flatcast Viewer 4.16) - http://data.flatcast.com/data/objects/NpFv41629.dll
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O20 - AppInit_DLLs: C:\DOKUME~1\PELIN_~1\LOKALE~1\Temp\8705367340mxx.dll
O23 - Service: Avira AntiVir Planer (antivirschedulerservice) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (antivirservice) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 7518 bytes

Dennoch funktioniert Combofix immer noch nicht, obwohl ich es umbenannt habe.

Alt 06.07.2009, 16:25   #7
Larusso
/// Selecta Jahrusso
 
HiJackThis Log; Trojaner? - Standard

HiJackThis Log; Trojaner?




Warum wird hier überhaupt noch irgendetwas bereinigt

@Dorn
Bitte unterlasse hier legliche Reinigungsversuche
Du hast ein sehr schwer verseuchtes System was man definitiv nicht mehr hinbekommt

Anleitung zum Neu aufsetzten
Hier steht WARUM
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 06.07.2009, 17:28   #8
Dorn
 
HiJackThis Log; Trojaner? - Standard

HiJackThis Log; Trojaner?


Ja, das habe ich auch vor Kurzem gemerkt. Aber trotzdem Danke für die Hilfe. :-)

Antwort

Themen zu HiJackThis Log; Trojaner?
.dll, adobe, antivir, antivir guard, avira, bho, defender, desktop, explorer, helper.exe, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, logfile, nicht angezeigt, pdf, programme, software, system, temp, trojaner, trojaner?, viren, windows, windows xp, wlan


« System temporär extrem langsam | Trojanerfund mit AntiVir - Noch etwas über? »


Ähnliche Themen: HiJackThis Log; Trojaner?


  1. HijackThis Log. Vermutung auf Trojaner
    Log-Analyse und Auswertung - 22.03.2011 (1)
  2. HijackThis Log....Trojaner?
    Log-Analyse und Auswertung - 03.05.2010 (2)
  3. Trojaner ? Logfile v. HijackThis
    Log-Analyse und Auswertung - 01.04.2010 (1)
  4. Hijackthis meldet Trojaner! Was tun?
    Log-Analyse und Auswertung - 22.03.2010 (2)
  5. Trojaner Hijackthis log
    Mülltonne - 24.12.2009 (0)
  6. # C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\hijackthis\HijackThis.e
    Mülltonne - 01.12.2009 (2)
  7. hijackthis Logfiles - Trojaner?!
    Log-Analyse und Auswertung - 18.04.2009 (32)
  8. HiJackThis Log-File für Trojaner
    Log-Analyse und Auswertung - 20.02.2009 (23)
  9. HiJackThis Hilfe bei Trojaner
    Log-Analyse und Auswertung - 01.02.2009 (2)
  10. Trojaner - Hijackthis Log
    Log-Analyse und Auswertung - 13.01.2009 (0)
  11. Trojaner auf dem Rechner HijackThis-log
    Log-Analyse und Auswertung - 04.10.2007 (1)
  12. Trojaner - HiJackThis Log
    Log-Analyse und Auswertung - 22.05.2007 (8)
  13. HiJackThis Trojaner
    Plagegeister aller Art und deren Bekämpfung - 21.03.2007 (3)
  14. Bitte wer hilft beim auswertenLogfile of HijackThis v1.99.1Logfile of HijackThis v1.9
    Log-Analyse und Auswertung - 23.02.2007 (1)
  15. HiJackthis logfile + 3 Trojaner!
    Log-Analyse und Auswertung - 07.01.2007 (1)
  16. HiJackThis Log-File Trojaner usw.
    Log-Analyse und Auswertung - 15.03.2006 (1)
  17. trojaner ? hijackThis log file
    Plagegeister aller Art und deren Bekämpfung - 21.05.2004 (7)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema HiJackThis Log; Trojaner? - Hallo, seit kurzem habe ich ein kleines Problemchen mit meinem Laptop. Ich denke, dass sich ein Trojaner eingenistet hat, denn seit gestern (?) funktioniert etwas nichtmehr. Genau weiß ich selber - HiJackThis Log; Trojaner?...
Archiv
Du betrachtest: HiJackThis Log; Trojaner? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129