Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Cognac Trojaner kann nicht entfernt werden

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 15.07.2009, 13:11   #1
HausTia
 
Cognac Trojaner kann nicht entfernt werden - Standard

Cognac Trojaner kann nicht entfernt werden



Ich habe erstmal gegoogelt und habe dabei herausgefunden, dass dieser Trojaner sich verfielfacht.
Jedoch öffnet sich bei mir plötzlich der Internet-Explorer voller Werbung.
In C:\Dokumente und Einstellungen\Patrick R\Lokale Einstellungen\Temp
existiert eine Datei namens: "a.dat, die sich nicht löschen lässt.

Ich habe bisher versucht mit "regedit" unter "Current Wondows Version" den "Cognac"- Ordner zu löschen, vergebens.

Der Trojaner versucht sich auch permanent in die Boot.ini einzuschreiben, was ich aber mit "Trojancheck 6" blocken kann.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:46:03, on 15.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avmailc.exe
C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\msa.exe
C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe
C:\Program Files\ASUS\Ai Suite\EnergySaving\PwSave.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Razer\Lachesis\razerhid.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Razer\Lachesis\OSD.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Razer\Lachesis\razertra.exe
C:\Programme\Razer\Lachesis\razerofa.exe
C:\Programme\ASUS\AASP\1.00.59\aaCenter.exe
C:\Dokumente und Einstellungen\Patrick R\Desktop\CryptLoad_1.1.4\CryptLoad.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Mozilla Firefox\firefox1.exe
C:\Programme\Windows Live\Mail\wlmail.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CPU Power Monitor] "C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe"
O4 - HKLM\..\Run: [Cpu Level Up help] C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe
O4 - HKLM\..\Run: [ASUS Energy Saving] "C:\Program Files\ASUS\Ai Suite\EnergySaving\PwSave.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Lachesis] C:\Programme\Razer\Lachesis\razerhid.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe /start
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: My_AutoWarkey_Script.lnk = C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

Alt 15.07.2009, 23:19   #2
kira
/// Helfer-Team
 
Cognac Trojaner kann nicht entfernt werden - Standard

Cognac Trojaner kann nicht entfernt werden



Hallo HausTia

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert)
    - mit "Ok" wird GMER beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

5.
  • lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
  • schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  • nichts am Pc machen während der Scan läuft!
  • starte in diesem Ordner fsbl.exe
  • klicke auf "I accept the agreement" → "next" → "Scan"
  • wenn der Scan beendet ist, wähle Close.
  • der Bericht ist fsbl-XXX.log und befindet sich im Blacklight Verzeichnis. (anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten). Den Inhalt dieser Datei bitte posten.
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein log schreibst du:[code]
hier kommt dein logfile rein
→ dahinter:[/code]


** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
Coverflow
__________________


Alt 02.08.2009, 22:58   #3
HausTia
 
Cognac Trojaner kann nicht entfernt werden - Standard

Cognac Trojaner kann nicht entfernt werden



So ich habe jetzte alles gemacht was du mir geschrieben hast:

Code:
ATTFilter
----- Root ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 6066-3B2E

 Verzeichnis von C:\

02.08.2009  20:40                43 filelist.txt
02.08.2009  19:50               534 RTHDCPL_Dump.txt
02.08.2009  19:47     2.145.386.496 pagefile.sys
09.06.2009  18:47               122 fpRedmon.log
08.04.2009  10:35               232 sqmdata00.sqm
08.04.2009  10:35               244 sqmnoopt00.sqm

 
----- Windows -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 6066-3B2E

 Verzeichnis von C:\WINDOWS

02.08.2009  20:39           662.853 setupapi.log
02.08.2009  20:33         1.066.708 WindowsUpdate.log
02.08.2009  19:48                 0 0.log
02.08.2009  19:47               159 wiadebug.log
02.08.2009  19:47                50 wiaservc.log
02.08.2009  19:47             2.048 bootstat.dat
15.07.2009  23:07            32.386 SchedLgU.Txt
15.07.2009  22:45               116 NeroDigital.ini
15.07.2009  20:01           275.045 DirectX.log
12.07.2009  00:19           135.680 msa.exe
07.07.2009  19:07            24.861 wmsetup.log
21.06.2009  23:27            30.535 scunin.dat
21.06.2009  23:27               967 ScUnin.pif
21.06.2009  23:27            69.632 ScUnin.exe
11.06.2009  00:13               683 win.ini
11.06.2009  00:13            44.170 tabletoc.log
11.06.2009  00:13           968.012 iis6.log
11.06.2009  00:13           399.485 tsoc.log
11.06.2009  00:13            48.081 ocmsn.log
11.06.2009  00:13           297.586 comsetup.log
11.06.2009  00:13             1.374 imsins.log
11.06.2009  00:13           178.607 ntdtcsetup.log
11.06.2009  00:13            20.018 KB961501.log
11.06.2009  00:13           417.140 ocgen.log
11.06.2009  00:13            60.137 MedCtrOC.log
11.06.2009  00:13            43.513 msgsocm.log
11.06.2009  00:13           152.244 netfxocm.log
11.06.2009  00:13           864.824 FaxSetup.log
11.06.2009  00:13           269.390 msmqinst.log
11.06.2009  00:13             1.374 imsins.BAK
11.06.2009  00:13            25.394 KB969897.log
11.06.2009  00:12            44.407 updspapi.log
11.06.2009  00:12            11.364 KB969898.log
11.06.2009  00:11            17.293 KB970238.log
11.06.2009  00:11            16.721 KB968537.log
10.06.2009  15:45           737.280 iun6002.exe
25.04.2009  16:30           291.629 svcpack.log
21.04.2009  17:48            43.833 spupdsvc.log
21.04.2009  17:48               187 spupdsvc.log.1.log
20.04.2009  13:09            23.591 WgaNotify.log
20.04.2009  12:47            13.639 KB959426.log
20.04.2009  12:47            11.943 KB961373.log
20.04.2009  00:25            24.031 KB956572.log
20.04.2009  00:25            20.899 KB952004.log
20.04.2009  00:24            17.762 KB960803.log
20.04.2009  00:24            21.556 KB963027.log
20.04.2009  00:23            10.805 KB923561.log
06.04.2009  17:26             6.120 BricoPackFoldersDelete.cmd
06.04.2009  17:26            54.886 BricoPackUninst.cmd
06.04.2009  17:26            54.886 BricoPackUninst.txt
06.04.2009  17:26         3.932.214 BricoPack Wallpaper.bmp
21.03.2009  12:39               231 LGNSlog.txt
11.03.2009  20:28            13.351 KB960225.log
11.03.2009  20:28            13.643 KB958690.log
11.03.2009  20:27             5.430 KB959772.log
25.02.2009  19:53             7.683 KB961118.log
25.02.2009  19:53            12.765 KB967715.log
13.02.2009  15:50           197.065 setupact.log
11.02.2009  20:55             6.069 KB960715.log

----- System  --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 6066-3B2E

 Verzeichnis von C:\WINDOWS\system


 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 6066-3B2E

 Verzeichnis von C:\WINDOWS\system32

02.08.2009  19:50             2.206 wpa.dbl
02.08.2009  19:47            47.604 ativvaxx.cap
10.07.2009  14:48           189.288 PnkBstrB.xtr
10.07.2009  14:48           189.288 PnkBstrB.exe
08.07.2009  01:55            41.808 xfcodec.dll
26.06.2009  22:04            75.064 PnkBstrA.exe
11.06.2009  10:49           292.480 FNTCACHE.DAT
10.06.2009  15:46            67.700 perfc009.dat
10.06.2009  15:46           432.936 perfh009.dat
10.06.2009  15:46           449.478 perfh007.dat
10.06.2009  15:46            80.426 perfc007.dat
10.06.2009  15:46         1.043.802 PerfStringBackup.INI
08.06.2009  15:33         8.676.883 mp3Media2.dll
01.06.2009  18:51        23.635.392 MRT.exe
07.05.2009  17:42           346.624 localspl.dll
29.04.2009  06:51         3.081.728 mshtml.dll
29.04.2009  06:51           618.496 urlmon.dll
29.04.2009  06:51         1.023.488 browseui.dll
29.04.2009  06:51           474.624 shlwapi.dll
29.04.2009  06:51           449.024 mshtmled.dll
29.04.2009  06:51            16.384 jsproxy.dll
29.04.2009  06:51           665.088 wininet.dll
29.04.2009  06:51         1.495.552 shdocvw.dll
29.04.2009  06:51            96.768 inseng.dll
29.04.2009  06:51            39.424 pngfilt.dll
29.04.2009  06:51           146.432 msrating.dll
29.04.2009  06:51           532.480 mstime.dll
29.04.2009  06:51           251.392 iepeers.dll
29.04.2009  06:51           205.312 dxtrans.dll
29.04.2009  06:51            81.920 ieencode.dll
29.04.2009  06:51         1.056.256 danim.dll
29.04.2009  06:51            55.808 extmgr.dll
29.04.2009  06:51           357.888 dxtmsft.dll
29.04.2009  06:51           152.064 cdfview.dll
29.04.2009  06:35           371.200 html.iec
27.04.2009  11:48           374.272 xpsp3res.dll
19.04.2009  22:06         1.846.784 win32k.sys
15.04.2009  17:11           584.192 rpcrt4.dll
06.04.2009  17:26           219.648 uxtheme.dll
05.04.2009  20:12             3.774 jupdate-1.6.0_13-b03.log
21.03.2009  16:20         1.059.840 kernel32.dll
10.03.2009  22:18           970.632 WgaTray.exe
10.03.2009  22:18         1.482.112 LegitCheckControl.dll
10.03.2009  22:18           265.096 WgaLogon.dll
09.03.2009  05:19           148.888 javaws.exe
09.03.2009  05:19           144.792 javaw.exe
09.03.2009  05:19           144.792 java.exe
09.03.2009  05:19           410.984 deploytk.dll
09.03.2009  02:53            73.728 javacpl.cpl
06.03.2009  16:44           286.208 pdh.dll
09.02.2009  13:47         2.018.304 ntkrnlpa.exe
09.02.2009  13:47         2.138.624 ntoskrnl.exe
09.02.2009  12:18           677.888 advapi32.dll
09.02.2009  12:18           399.360 rpcss.dll
09.02.2009  12:18           731.136 lsasrv.dll
09.02.2009  12:18           740.352 ntdll.dll
09.02.2009  12:04           111.104 services.exe
06.02.2009  18:54            35.328 sc.exe
03.02.2009  22:08            55.808 secur32.dll

 
----- Prefetch ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 6066-3B2E

 Verzeichnis von C:\WINDOWS\Prefetch

02.08.2009  20:40            11.020 FIND.EXE-0EC32F1E.pf
02.08.2009  20:40            17.500 CMD.EXE-087B4001.pf
02.08.2009  20:39            27.606 FACT.EXE-1F48D283.pf
02.08.2009  20:39           119.656 FIREFOX1.EXE-1ECE65F9.pf
02.08.2009  20:39             8.000 JQSNOTIFY.EXE-1E60A522.pf
02.08.2009  20:39            58.222 AVCENTER.EXE-1D2DB8A2.pf
02.08.2009  20:37            40.220 4NZGRNR8.EXE-2E2ED85B.pf
02.08.2009  20:36            19.144 CCLEANER.EXE-065E2F3F.pf
02.08.2009  20:36            19.858 CCSETUP222_SLIM.EXE-1DA70C23.pf
02.08.2009  20:35            13.568 NOTEPAD.EXE-336351A9.pf
02.08.2009  20:33            60.754 WINRAR.EXE-3588DFE8.pf
02.08.2009  20:33            59.672 EXPLORER.EXE-082F38A9.pf
02.08.2009  20:33            13.820 VERCLSID.EXE-3667BD89.pf
02.08.2009  20:30            61.870 WMPLAYER.EXE-09969338.pf
02.08.2009  20:28            77.576 WMIPRVSE.EXE-28F301A9.pf
02.08.2009  20:28            98.136 WLMAIL.EXE-07132131.pf
02.08.2009  20:27           103.526 CRYPTLOAD.EXE-2DA99FFF.pf
02.08.2009  20:17            94.042 IEXPLORE.EXE-2CA9778D.pf
02.08.2009  20:00            56.872 MSA.EXE-1E98B210.pf
02.08.2009  19:55            58.606 JAVA.EXE-2167859B.pf
02.08.2009  19:50            17.264 RAZERTRA.EXE-16BC8261.pf
02.08.2009  19:50            21.434 MSMSGS.EXE-32066BA5.pf
02.08.2009  19:50            44.014 RTHDCPL.EXE-06918CFA.pf
02.08.2009  19:50            17.532 PWSAVE.EXE-192F99AA.pf
02.08.2009  19:50            12.534 FPASSIST.EXE-18368AA2.pf
02.08.2009  19:50            15.672 USERINIT.EXE-30B18140.pf
02.08.2009  19:50            42.654 WGATRAY.EXE-0ED38BED.pf
02.08.2009  19:50             8.020 QTTASK.EXE-2D7EEF34.pf
02.08.2009  19:50            11.628 CPULEVELUPHELP.EXE-1372A4FC.pf
02.08.2009  19:50            59.068 UPDATE.EXE-3398FCD6.pf
02.08.2009  19:49         1.339.000 NTOSBOOT-B00DFAAD.pf
15.07.2009  22:45           164.020 VLC.EXE-29851A71.pf
15.07.2009  22:00            48.876 HELPSVC.EXE-2878DDA2.pf
15.07.2009  22:00            14.372 GUARDGUI.EXE-147E0160.pf
15.07.2009  21:17            56.212 WAR3.EXE-3858031C.pf
15.07.2009  21:17            19.994 FROZEN THRONE.EXE-0ED0B3D3.pf
15.07.2009  20:22            34.594 AUTOHOTKEY.EXE-033E2A15.pf
15.07.2009  20:20            43.514 RAZERCFG.EXE-23FACD32.pf
15.07.2009  20:19            15.250 TASKMGR.EXE-20256C55.pf
15.07.2009  20:18            45.994 SDFIX.EXE-1A9E88EB.pf
15.07.2009  20:17            13.012 REGEDIT.EXE-1B606482.pf
15.07.2009  20:01            33.732 MSIEXEC.EXE-2F8A8CAE.pf
15.07.2009  20:01             6.318 DXDLLREG.EXE-3B244143.pf
15.07.2009  20:01            51.742 DXSETUP.EXE-347BCA3F.pf
15.07.2009  20:00            57.298 GAMEINST.EXE-076AE523.pf
15.07.2009  20:00           138.176 SETUP.EXE-31B8D3C3.pf
15.07.2009  20:00            32.886 AUTORUN.EXE-03D046DC.pf
15.07.2009  20:00            57.974 GAMEINST.EXE-21449C7C.pf
15.07.2009  20:00            57.298 GAMEINST.EXE-37950C06.pf
15.07.2009  19:58             6.330 DXDLLREG.EXE-08B98EF1.pf
15.07.2009  19:58            14.246 DXSETUP.EXE-2979CC15.pf
15.07.2009  19:56            57.362 GAMEINST.EXE-372BC0C6.pf
15.07.2009  19:56            15.884 SETUP.EXE-327952C5.pf
15.07.2009  19:55            45.594 ACROSETUP.EXE-1AF5AFDF.pf
15.07.2009  19:55            12.220 BSSNDRPT.EXE-2F822E94.pf
15.07.2009  19:55            57.298 GAMEINST.EXE-292492DA.pf
15.07.2009  19:44             8.546 DXDLLREG.EXE-35714334.pf
15.07.2009  19:44            51.804 DXSETUP.EXE-141E3053.pf
15.07.2009  19:41            57.152 GAMEINST.EXE-1F5CA002.pf
15.07.2009  19:17           334.776 Layout.ini
15.07.2009  18:54            11.744 RUNDLL32.EXE-3AF10E20.pf
15.07.2009  18:06            40.646 MP3MEDIA2.DLL-181D4ECE.pf
15.07.2009  18:06            38.186 FLV2MP3.EXE-07A13B4A.pf
15.07.2009  13:46            20.180 HIJACKTHIS.EXE-39024128.pf
15.07.2009  11:38            76.398 DFRGNTFS.EXE-269967DF.pf
15.07.2009  11:38            16.394 DEFRAG.EXE-273F131E.pf
15.07.2009  10:40            19.446 TCGUARD.EXE-1CA88984.pf
15.07.2009  10:40             6.104 OSD.EXE-0373909B.pf
15.07.2009  10:40            10.238 JUSCHED.EXE-336229D9.pf
15.07.2009  10:40           101.186 CPUPOWERMONITOR.EXE-20929CF4.pf
15.07.2009  10:40            15.514 RAZERHID.EXE-2D2B1F2B.pf
15.07.2009  10:40            10.384 READER_SL.EXE-2FAFE67A.pf
15.07.2009  10:40            10.540 ALCMTR.EXE-235F9538.pf
15.07.2009  10:40             5.090 CLISTART.EXE-025897C5.pf
14.07.2009  20:39            11.250 RUNDLL32.EXE-451FC2C0.pf
14.07.2009  20:12            65.298 XFIRE.EXE-021C4593.pf
12.07.2009  00:44           102.184 FIREFOX.EXE-1D57670A.pf
07.07.2009  00:29            20.812 WUAUCLT.EXE-399A8E72.pf
07.07.2009  00:27            34.400 AVWSC.EXE-24612965.pf
21.03.2009  10:58            36.228 AVWSC.EXE-21794CE9.pf
              80 Datei(en)      4.813.184 Bytes
               0 Verzeichnis(se), 109.460.598.784 Bytes frei
 
----- Tasks ---------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 6066-3B2E

 Verzeichnis von C:\WINDOWS\tasks

02.08.2009  20:00               248 {5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
02.08.2009  20:00               292 {783AF354-B514-42d6-970E-3E8BF0A5279C}.job
02.08.2009  19:47                 6 SA.DAT

               4 Datei(en)            611 Bytes
               0 Verzeichnis(se), 109.460.598.784 Bytes frei
 
----- Windows/Temp ----------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 6066-3B2E

 Verzeichnis von C:\WINDOWS\Temp

02.08.2009  19:50               483 WGAErrLog.txt
02.08.2009  19:47            16.384 Perflib_Perfdata_6f4.dat
09.06.2009  18:47               378 fpRedmon.log
12.05.2009  19:27            94.228 Microsoft .NET Framework 3.5-KB958484_20090512_172718312.html
12.05.2009  19:27           750.934 Microsoft .NET Framework 3.5-KB958484_20090512_172718312-Msi0.txt
12.05.2009  19:27           113.324 Microsoft .NET Framework 3.0-KB958483_20090512_172652718.html
12.05.2009  19:27         2.120.580 Microsoft .NET Framework 3.0-KB958483_20090512_172652718-Msi0.txt
12.05.2009  19:27             4.841 dd_wcf_retCA266E.txt
12.05.2009  19:26           506.044 Microsoft .NET Framework 2.0-KB958481_20090512_172500218.html
12.05.2009  19:26         9.420.894 Microsoft .NET Framework 2.0-KB958481_20090512_172500218-Msi0.txt
12.05.2009  19:26             5.158 ASPNETSetup_00000.log
20.04.2009  00:25           524.288 TMP00000001008EC730F6AD82A0
20.04.2009  00:25         4.604.240 mpengine.dll
19.04.2009  21:01            16.384 Perflib_Perfdata_71c.dat
              14 Datei(en)     18.178.160 Bytes
               0 Verzeichnis(se), 109.460.598.784 Bytes frei
 
----- Temp ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 6066-3B2E

 Verzeichnis von C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp

02.08.2009  20:40            20.316 a.dat
02.08.2009  20:39                 0 etilqs_kb0A2XWX217hspmrIiga
02.08.2009  20:39                 0 etilqs_WEGj7wCgrnZJHlFEurhI
02.08.2009  20:31            28.700 etilqs_ktYed9IFln3wmmGUMYu7
02.08.2009  19:55           184.446 jusched.log
02.08.2009  19:50            16.384 Perflib_Perfdata_e08.dat
02.08.2009  19:50            16.384 ~DF7280.tmp
15.07.2009  20:00                49 1215wrfiles.~lk
15.07.2009  20:00                49 6209wrfiles.~lk
15.07.2009  20:00                49 8220wrfiles.~lk
15.07.2009  19:56                49 1720wrfiles.~lk
15.07.2009  19:56                49 7653wrfiles.~lk
15.07.2009  19:56               316 MSIe7ea6.LOG
15.07.2009  19:55                49 3707wrfiles.~lk
15.07.2009  19:41                49 1964wrfiles.~lk
14.07.2009  20:41             7.326 java_install_reg.log
10.07.2009  20:32            17.060 wmplog00.sqm
09.07.2009  22:37            22.432 mod13F.tmp
09.07.2009  22:37                34 mod13D.tmp
09.07.2009  22:37               435 mod13E.tmp
09.07.2009  22:37            22.432 mod13C.tmp
09.07.2009  22:37                34 mod13A.tmp
09.07.2009  22:37               437 mod13B.tmp
09.07.2009  01:31         4.780.760 DWPUpgradeInstaller.exe
29.06.2009  16:10               755 ws_NET_20090629_0.log
29.06.2009  16:09            59.964 AdskCleanup.0001
28.06.2009  16:04                 0 9taHv0hY.htm.part
28.06.2009  16:03                 0 ThMiAYuY.htm.part
28.06.2009  15:34               755 ws_NET_20090628_0.log
15.06.2009  15:53               755 ws_NET_20090615_0.log
13.06.2009  12:57                 0 jar_cache3084711512190355124.tmp
08.06.2009  17:34                 0 7vi7D.tmp
07.06.2009  14:53                 0 i1y66.tmp
07.06.2009  12:17               141 browserview-e2f090.htm
07.06.2009  12:17            45.187 browserview-1d42150.htm
24.05.2009  18:35                 0 iuk9F.tmp
24.05.2009  18:34                 0 6xs9D.tmp
22.05.2009  20:06               141 browserview-3455b00.htm
22.05.2009  20:06            40.795 browserview-1cf6870.htm
22.05.2009  20:06               141 browserview-e1d4b0.htm
21.05.2009  11:31               141 browserview-e1d3b8.htm
21.05.2009  11:31               141 browserview-37cd008.htm
21.05.2009  11:31            44.923 browserview-1ce8778.htm
18.05.2009  22:53               755 ws_NET_20090518_0.log
16.05.2009  17:37            59.964 Adobelm_Cleanup.0001
04.05.2009  18:10               755 ws_NET_20090504_0.log
04.05.2009  16:20                 0 b86B.tmp
04.05.2009  16:19                 0 tlf5.tmp
03.05.2009  11:53               755 ws_NET_20090503_0.log
02.05.2009  16:42             1.510 ws_NET_20090502_0.log
01.05.2009  10:13            11.246 dd_vcredistUI4604.txt
01.05.2009  10:13           523.114 dd_vcredistMSI4604.txt
01.05.2009  10:11            15.466 dd_vcredistUI443E.txt
01.05.2009  10:11           521.982 dd_vcredistMSI443E.txt
25.04.2009  16:32            11.182 dd_vcredistUI1368.txt
25.04.2009  16:32           521.602 dd_vcredistMSI1368.txt
25.04.2009  16:23               141 browserview-df1ad8.htm
25.04.2009  16:23             4.595 browserview-1c805f8.htm
19.04.2009  21:19             2.374 java_install_sp.log
19.04.2009  21:19         1.532.928 11a68f.mst
19.04.2009  21:19             9.635 jinstall.cfg
19.04.2009  21:11                 0 uqu33.tmp
12.04.2009  22:48               141 browserview-dd0538.htm
12.04.2009  22:48            55.432 browserview-1aaea78.htm
09.04.2009  14:23             7.108 aa38_appcompat.txt
06.04.2009  17:29            55.147 browserview-1a6c7d0.htm
06.04.2009  17:29               141 browserview-dd1af0.htm
06.04.2009  17:27               798 PrePict.htm
06.04.2009  09:06                 0 5ubB.tmp
05.04.2009  22:57               141 browserview-d81030.htm
05.04.2009  22:57            51.799 browserview-1a27f18.htm
05.04.2009  20:12         1.532.928 67775.mst
04.04.2009  14:53               141 browserview-34b3500.htm
04.04.2009  14:53               141 browserview-d81110.htm
04.04.2009  14:53            41.897 browserview-1a23790.htm
02.04.2009  19:38               141 browserview-30ee9d8.htm
29.03.2009  22:03               141 browserview-d80b78.htm
29.03.2009  22:03               141 browserview-30bff78.htm
29.03.2009  22:03            55.982 browserview-1a4caa0.htm
29.03.2009  05:43               141 browserview-d814a0.htm
29.03.2009  05:43            51.351 browserview-1a03ca8.htm
28.03.2009  19:10                76 dw.log
25.03.2009  09:02           607.640 jre-6u13-windows-i586-p-iftw.exe
22.03.2009  22:17               755 ws_NET_20090322_0.log
21.03.2009  16:35               141 browserview-d81028.htm
21.03.2009  16:35            41.901 browserview-19fcaa8.htm
21.03.2009  10:58           189.528 dd_vcredistUI656D.txt
21.03.2009  10:58           525.636 dd_vcredistMSI656D.txt
19.03.2009  19:43           189.576 dd_vcredistUI5AED.txt
19.03.2009  19:43           526.776 dd_vcredistMSI5AED.txt
18.03.2009  22:02           189.526 dd_vcredistUI769E.txt
18.03.2009  22:02           525.388 dd_vcredistMSI769E.txt
18.03.2009  21:57            12.304 etilqs_946sXXhHmIXIyCoH69a3
14.03.2009  17:54               141 browserview-d7ee38.htm
14.03.2009  17:54            50.814 browserview-19cfa88.htm
08.03.2009  15:18                 0 W_6Cuu4l.htm.part
08.03.2009  14:02               693 TWAIN.LOG
08.03.2009  14:02               156 Twunk001.MTX
08.03.2009  14:02                 2 Twain001.Mtx
04.03.2009  16:01                 0 Twunk002.MTX
01.03.2009  15:27                 0 3DyKoja6.htm.part
01.03.2009  01:33               141 browserview-d80568.htm
01.03.2009  01:33               141 browserview-2f11f40.htm
01.03.2009  01:33            49.958 browserview-1958480.htm
28.02.2009  19:48               141 browserview-d80470.htm
28.02.2009  19:48            55.268 browserview-1949750.htm
28.02.2009  13:30               141 browserview-dcf2e0.htm
28.02.2009  13:30            40.985 browserview-1995080.htm

             111 Datei(en)     13.659.113 Bytes
               0 Verzeichnis(se), 109.460.590.592 Bytes frei
         
__________________

Alt 02.08.2009, 23:09   #4
HausTia
 
Cognac Trojaner kann nicht entfernt werden - Standard

Cognac Trojaner kann nicht entfernt werden



GMER:

Code:
ATTFilter
GMER 1.0.15.15011 [4nzgrnr8.exe] - http://www.gmer.net
Rootkit scan 2009-08-02 23:21:43
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT      BA7CA6A6                                                                                                             ZwCreateKey
SSDT      BA7CA69C                                                                                                             ZwCreateThread
SSDT      BA7CA6AB                                                                                                             ZwDeleteKey
SSDT      BA7CA6B5                                                                                                             ZwDeleteValueKey
SSDT      spgf.sys                                                                                                             ZwEnumerateKey [0xB9EC8CA2]
SSDT      spgf.sys                                                                                                             ZwEnumerateValueKey [0xB9EC9030]
SSDT      BA7CA6BA                                                                                                             ZwLoadKey
SSDT      spgf.sys                                                                                                             ZwOpenKey [0xB9EAB0C0]
SSDT      BA7CA688                                                                                                             ZwOpenProcess
SSDT      BA7CA68D                                                                                                             ZwOpenThread
SSDT      spgf.sys                                                                                                             ZwQueryKey [0xB9EC9108]
SSDT      spgf.sys                                                                                                             ZwQueryValueKey [0xB9EC8F88]
SSDT      BA7CA6C4                                                                                                             ZwReplaceKey
SSDT      BA7CA6BF                                                                                                             ZwRestoreKey
SSDT      BA7CA6B0                                                                                                             ZwSetValueKey
SSDT      BA7CA697                                                                                                             ZwTerminateProcess

INT 0x63  ?                                                                                                                    8A54BBF8
INT 0x63  ?                                                                                                                    8A54BBF8
INT 0x63  ?                                                                                                                    8A54BBF8
INT 0x63  ?                                                                                                                    8A54BBF8
INT 0x63  ?                                                                                                                    8A54BBF8
INT 0x83  ?                                                                                                                    8A54BBF8
INT 0x83  ?                                                                                                                    8A54BBF8
INT 0x83  ?                                                                                                                    8A19BF00
INT 0x84  ?                                                                                                                    8A19BF00
INT 0x94  ?                                                                                                                    8A19BF00
INT 0xA4  ?                                                                                                                    8A19BF00
INT 0xA4  ?                                                                                                                    8A19BF00
INT 0xA4  ?                                                                                                                    8A19BF00
INT 0xA4  ?                                                                                                                    8A19BF00
INT 0xB4  ?                                                                                                                    8A19BF00

---- Kernel code sections - GMER 1.0.15 ----

?         spgf.sys                                                                                                             Das System kann die angegebene Datei nicht finden. !
.text     USBPORT.SYS!DllUnload                                                                                                B896E62C 5 Bytes  JMP 8A19B4E0 
?         System32\Drivers\aglz5uow.SYS                                                                                        Das System kann den angegebenen Pfad nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT       atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                   [B9EAC040] spgf.sys
IAT       atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                           [B9EAC13C] spgf.sys
IAT       atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                  [B9EAC0BE] spgf.sys
IAT       atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                          [B9EAC7FC] spgf.sys
IAT       atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                  [B9EAC6D2] spgf.sys
IAT       \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                   [B9EBBD92] spgf.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExA]                                [00417CDF] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExW]                                [00417D55] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!DialogBoxParamW]                                [00417EDF] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!MessageBoxW]                                    [00417EEB] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!ShowWindow]                                     [00417DCB] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!ShowWindow]                                   [00417DCB] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!CreateWindowExA]                              [00417CDF] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\WININET.dll [USER32.dll!SetWindowPos]                                 [00417E75] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\CRYPT32.dll [USER32.dll!MessageBoxW]                                  [00417EEB] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\CRYPT32.dll [USER32.dll!MessageBoxA]                                  [00417EEB] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!DialogBoxParamA]                              [00417EDF] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!DialogBoxParamW]                              [00417EDF] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!CreateWindowExA]                              [00417CDF] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!CreateWindowExW]                              [00417D55] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxA]                                  [00417EEB] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxW]                                  [00417EEB] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxIndirectA]                          [00417ED9] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!MessageBoxIndirectW]                          [00417ED9] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!SetWindowPos]                                 [00417E75] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!ShowWindow]                                   [00417DCB] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!CreateWindowExW]                              [00417D55] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!DialogBoxParamW]                              [00417EDF] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!ShowWindow]                                   [00417DCB] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!SetWindowPos]                                 [00417E75] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!MessageBoxW]                                  [00417EEB] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!MessageBoxA]                                  [00417EEB] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!MessageBoxIndirectW]                          [00417ED9] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!SetWindowPos]                                 [00417E75] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!ShowWindow]                                   [00417DCB] C:\WINDOWS\msa.exe
IAT       C:\WINDOWS\msa.exe[2940] @ C:\WINDOWS\system32\USERENV.dll [USER32.dll!DialogBoxParamW]                              [00417EDF] C:\WINDOWS\msa.exe

---- Devices - GMER 1.0.15 ----

Device    \FileSystem\Ntfs \Ntfs                                                                                               8A54A1F8
Device    \Driver\usbuhci \Device\USBPDO-0                                                                                     8A02B1F8
Device    \Driver\PCI_PNP3020 \Device\00000044                                                                                 spgf.sys
Device    \Driver\dmio \Device\DmControl\DmIoDaemon                                                                            8A4DC1F8
Device    \Driver\dmio \Device\DmControl\DmConfig                                                                              8A4DC1F8
Device    \Driver\dmio \Device\DmControl\DmPnP                                                                                 8A4DC1F8
Device    \Driver\dmio \Device\DmControl\DmInfo                                                                                8A4DC1F8
Device    \Driver\usbuhci \Device\USBPDO-1                                                                                     8A02B1F8
Device    \Driver\usbuhci \Device\USBPDO-2                                                                                     8A02B1F8
Device    \Driver\usbehci \Device\USBPDO-3                                                                                     8A28C500
Device    \Driver\usbuhci \Device\USBPDO-4                                                                                     8A02B1F8
Device    \Driver\usbuhci \Device\USBPDO-5                                                                                     8A02B1F8
Device    \Driver\usbuhci \Device\USBPDO-6                                                                                     8A02B1F8
Device    \Driver\Ftdisk \Device\HarddiskVolume1                                                                               8A54C1F8
Device    \Driver\usbehci \Device\USBPDO-7                                                                                     8A28C500
Device    \Driver\Ftdisk \Device\HarddiskVolume2                                                                               8A54C1F8
Device    \Driver\Cdrom \Device\CdRom0                                                                                         8A190500
Device    \Driver\Cdrom \Device\CdRom1                                                                                         8A190500
Device    \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-12                                                                         8A54B1F8
Device    \Driver\atapi \Device\Ide\IdePort0                                                                                   8A54B1F8
Device    \Driver\atapi \Device\Ide\IdePort1                                                                                   8A54B1F8
Device    \Driver\atapi \Device\Ide\IdePort2                                                                                   8A54B1F8
Device    \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-7                                                                          8A54B1F8
Device    \Driver\atapi \Device\Ide\IdePort3                                                                                   8A54B1F8
Device    \Driver\atapi \Device\Ide\IdePort4                                                                                   8A54B1F8
Device    \Driver\atapi \Device\Ide\IdePort5                                                                                   8A54B1F8
Device    \Driver\NetBT \Device\NetBt_Wins_Export                                                                              8A181500
Device    \Driver\NetBT \Device\NetbiosSmb                                                                                     8A181500
Device    \Driver\usbuhci \Device\USBFDO-0                                                                                     8A02B1F8
Device    \Driver\usbuhci \Device\USBFDO-1                                                                                     8A02B1F8
Device    \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                    8A03B500
Device    \Driver\usbuhci \Device\USBFDO-2                                                                                     8A02B1F8
Device    \FileSystem\MRxSmb \Device\LanmanRedirector                                                                          8A03B500
Device    \Driver\usbehci \Device\USBFDO-3                                                                                     8A28C500
Device    \Driver\sptd \Device\1099033020                                                                                      spgf.sys
Device    \Driver\usbuhci \Device\USBFDO-4                                                                                     8A02B1F8
Device    \Driver\Ftdisk \Device\FtControl                                                                                     8A54C1F8
Device    \Driver\usbuhci \Device\USBFDO-5                                                                                     8A02B1F8
Device    \Driver\usbuhci \Device\USBFDO-6                                                                                     8A02B1F8
Device    \Driver\usbehci \Device\USBFDO-7                                                                                     8A28C500
Device    \Driver\aglz5uow \Device\Scsi\aglz5uow1Port6Path0Target0Lun0                                                         8A2821F8
Device    \Driver\aglz5uow \Device\Scsi\aglz5uow1                                                                              8A2821F8
Device    \FileSystem\Cdfs \Cdfs                                                                                               8A17B500

---- Services - GMER 1.0.15 ----

Service   C:\WINDOWS\system32\svchost.exe (*** hidden *** )                                                                    [AUTO] dclink                                                                                                                                                                                                                                                                                                                                <-- ROOTKIT !!!
Service   C:\WINDOWS\system32\svchost.exe (*** hidden *** )
         

Alt 02.08.2009, 23:10   #5
HausTia
 
Cognac Trojaner kann nicht entfernt werden - Standard

Cognac Trojaner kann nicht entfernt werden



Der zweite Teil von GMER:

Code:
ATTFilter
---- Registry - GMER 1.0.15 ----

Reg       HKLM\SYSTEM\CurrentControlSet\Services\dclink@DisplayName                                                            Microsoft Driver
Reg       HKLM\SYSTEM\CurrentControlSet\Services\dclink@Type                                                                   32
Reg       HKLM\SYSTEM\CurrentControlSet\Services\dclink@Start                                                                  2
Reg       HKLM\SYSTEM\CurrentControlSet\Services\dclink@ErrorControl                                                           0
Reg       HKLM\SYSTEM\CurrentControlSet\Services\dclink@ImagePath                                                              %SystemRoot%\system32\svchost.exe -k netsvcs
Reg       HKLM\SYSTEM\CurrentControlSet\Services\dclink@ObjectName                                                             LocalSystem
Reg       HKLM\SYSTEM\CurrentControlSet\Services\dclink@Description                                                            Bietet Startfunktionalit?t f?r DCOM-Dienste.
Reg       HKLM\SYSTEM\CurrentControlSet\Services\dclink\Parameters                                                             
Reg       HKLM\SYSTEM\CurrentControlSet\Services\dclink\Parameters@ServiceDll                                                  C:\WINDOWS\system32\liorlu.dll
Reg       HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@DisplayName                                                          Boot Manager
Reg       HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@Type                                                                 32
Reg       HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@Start                                                                2
Reg       HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@ErrorControl                                                         0
Reg       HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@ImagePath                                                            %SystemRoot%\system32\svchost.exe -k netsvcs
Reg       HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@ObjectName                                                           LocalSystem
Reg       HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@Description                                                          F?hrt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem ausschlie?lich Dienst abh?ngig sind, nicht mehr gestartet werden.
Reg       HKLM\SYSTEM\CurrentControlSet\Services\irrnqych\Parameters                                                           
Reg       HKLM\SYSTEM\CurrentControlSet\Services\irrnqych\Parameters@ServiceDll                                                C:\WINDOWS\system32\liorlu.dll
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                   1726502437
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                   -1327979651
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                   2
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                     
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                  1
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                               0x65 0x0B 0x62 0xB4 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                     
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                  C:\Programme\DAEMON Tools\
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                               0x17 0xF2 0x5D 0x67 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                            
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                         0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                      0x90 0xBB 0x04 0x3B ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                      
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                0xA7 0xEF 0xEC 0xF7 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\dclink@DisplayName                                                                Microsoft Driver
Reg       HKLM\SYSTEM\ControlSet002\Services\dclink@Type                                                                       32
Reg       HKLM\SYSTEM\ControlSet002\Services\dclink@Start                                                                      2
Reg       HKLM\SYSTEM\ControlSet002\Services\dclink@ErrorControl                                                               0
Reg       HKLM\SYSTEM\ControlSet002\Services\dclink@ImagePath                                                                  %SystemRoot%\system32\svchost.exe -k netsvcs
Reg       HKLM\SYSTEM\ControlSet002\Services\dclink@ObjectName                                                                 LocalSystem
Reg       HKLM\SYSTEM\ControlSet002\Services\dclink@Description                                                                Bietet Startfunktionalit?t f?r DCOM-Dienste.
Reg       HKLM\SYSTEM\ControlSet002\Services\dclink\Parameters (not active ControlSet)                                         
Reg       HKLM\SYSTEM\ControlSet002\Services\dclink\Parameters@ServiceDll                                                      C:\WINDOWS\system32\liorlu.dll
Reg       HKLM\SYSTEM\ControlSet002\Services\irrnqych@DisplayName                                                              Boot Manager
Reg       HKLM\SYSTEM\ControlSet002\Services\irrnqych@Type                                                                     32
Reg       HKLM\SYSTEM\ControlSet002\Services\irrnqych@Start                                                                    2
Reg       HKLM\SYSTEM\ControlSet002\Services\irrnqych@ErrorControl                                                             0
Reg       HKLM\SYSTEM\ControlSet002\Services\irrnqych@ImagePath                                                                %SystemRoot%\system32\svchost.exe -k netsvcs
Reg       HKLM\SYSTEM\ControlSet002\Services\irrnqych@ObjectName                                                               LocalSystem
Reg       HKLM\SYSTEM\ControlSet002\Services\irrnqych@Description                                                              F?hrt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem ausschlie?lich Dienst abh?ngig sind, nicht mehr gestartet werden.
Reg       HKLM\SYSTEM\ControlSet002\Services\irrnqych\Parameters (not active ControlSet)                                       
Reg       HKLM\SYSTEM\ControlSet002\Services\irrnqych\Parameters@ServiceDll                                                    C:\WINDOWS\system32\liorlu.dll
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                 
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                      1
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                   0x65 0x0B 0x62 0xB4 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Programme\DAEMON Tools\
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0x17 0xF2 0x5D 0x67 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                             0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x90 0xBB 0x04 0x3B ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0xA7 0xEF 0xEC 0xF7 ...

---- EOF - GMER 1.0.15 ----
         
Und dann noch Blacklight:

Code:
ATTFilter
08/02/09 23:26:24 [Info]: BlackLight Engine 2.2.1092 initialized
08/02/09 23:26:24 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/02/09 23:26:24 [Note]: 7019 4
08/02/09 23:26:24 [Note]: 7005 0
08/02/09 23:26:26 [Note]: 7006 0
08/02/09 23:26:26 [Note]: 7011 2948
08/02/09 23:26:26 [Note]: 7035 0
08/02/09 23:26:26 [Note]: 7026 0
08/02/09 23:26:26 [Note]: 7026 0
08/02/09 23:26:27 [Note]: FSRAW library version 1.7.1024
08/02/09 23:34:22 [Note]: 2000 1012
08/02/09 23:51:14 [Note]: 7007 0
         


Alt 10.08.2009, 10:45   #6
kira
/// Helfer-Team
 
Cognac Trojaner kann nicht entfernt werden - Standard

Cognac Trojaner kann nicht entfernt werden



hi

Wichtig!:
Zitat:
  • alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
  • nichts am Rechner getan werden
Starte jetzt "gmer" nochmal und verneine die Frage nach einem Scan.
Geh auf den Reiter "Services".
Dort sollte das gefundene Rootkit dann rot erscheinen. Klicke mit der rechten Maustaste drauf und wähle "delete".
Falls eine Sicherheitsabfrage kommt, bejahe sie bitte ► 'Anleitung' visuell

2.
Dann lass` "gmer" erneut scannen
Scanner wieder einschalten, bevor Du ins Netz gehst!
und poste den Bericht.

Alt 14.08.2009, 21:19   #7
HausTia
 
Cognac Trojaner kann nicht entfernt werden - Standard

Cognac Trojaner kann nicht entfernt werden



Code:
ATTFilter
GMER 1.0.15.15011 [4nzgrnr8.exe] - http://www.gmer.net
Rootkit scan 2009-08-14 22:19:10
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT      BA6946B6                                                                                                             ZwCreateKey
SSDT      BA6946AC                                                                                                             ZwCreateThread
SSDT      BA6946BB                                                                                                             ZwDeleteKey
SSDT      BA6946C5                                                                                                             ZwDeleteValueKey
SSDT      spau.sys                                                                                                             ZwEnumerateKey [0xB9EC8CA2]
SSDT      spau.sys                                                                                                             ZwEnumerateValueKey [0xB9EC9030]
SSDT      BA6946CA                                                                                                             ZwLoadKey
SSDT      spau.sys                                                                                                             ZwOpenKey [0xB9EAB0C0]
SSDT      BA694698                                                                                                             ZwOpenProcess
SSDT      BA69469D                                                                                                             ZwOpenThread
SSDT      spau.sys                                                                                                             ZwQueryKey [0xB9EC9108]
SSDT      spau.sys                                                                                                             ZwQueryValueKey [0xB9EC8F88]
SSDT      BA6946D4                                                                                                             ZwReplaceKey
SSDT      BA6946CF                                                                                                             ZwRestoreKey
SSDT      BA6946C0                                                                                                             ZwSetValueKey
SSDT      BA6946A7                                                                                                             ZwTerminateProcess

INT 0x63  ?                                                                                                                    8A54BBF8
INT 0x63  ?                                                                                                                    8A54BBF8
INT 0x63  ?                                                                                                                    8A54BBF8
INT 0x63  ?                                                                                                                    8A54BBF8
INT 0x63  ?                                                                                                                    8A54BBF8
INT 0x83  ?                                                                                                                    8A54BBF8
INT 0x83  ?                                                                                                                    8A54BBF8
INT 0x83  ?                                                                                                                    8A16ABF8
INT 0x84  ?                                                                                                                    8A16ABF8
INT 0x94  ?                                                                                                                    8A16ABF8
INT 0xA4  ?                                                                                                                    8A16ABF8
INT 0xA4  ?                                                                                                                    8A16ABF8
INT 0xA4  ?                                                                                                                    8A16ABF8
INT 0xA4  ?                                                                                                                    8A16ABF8
INT 0xB4  ?                                                                                                                    8A16ABF8

---- Kernel code sections - GMER 1.0.15 ----

?         spau.sys                                                                                                             Das System kann die angegebene Datei nicht finden. !
.text     USBPORT.SYS!DllUnload                                                                                                B8FE362C 5 Bytes  JMP 8A16A1D8 
?         System32\Drivers\aps6fxr7.SYS                                                                                        Das System kann den angegebenen Pfad nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT       atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                   [B9EAC040] spau.sys
IAT       atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                           [B9EAC13C] spau.sys
IAT       atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                  [B9EAC0BE] spau.sys
IAT       atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                          [B9EAC7FC] spau.sys
IAT       atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                  [B9EAC6D2] spau.sys
IAT       \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                   [B9EBBD92] spau.sys

---- Devices - GMER 1.0.15 ----

Device    \FileSystem\Ntfs \Ntfs                                                                                               8A54A1F8
Device    \Driver\PCI_PNP5298 \Device\00000044                                                                                 spau.sys
Device    \Driver\usbuhci \Device\USBPDO-0                                                                                     8A1661F8
Device    \Driver\usbuhci \Device\USBPDO-1                                                                                     8A1661F8
Device    \Driver\dmio \Device\DmControl\DmIoDaemon                                                                            8A4DC1F8
Device    \Driver\dmio \Device\DmControl\DmConfig                                                                              8A4DC1F8
Device    \Driver\dmio \Device\DmControl\DmPnP                                                                                 8A4DC1F8
Device    \Driver\dmio \Device\DmControl\DmInfo                                                                                8A4DC1F8
Device    \Driver\usbuhci \Device\USBPDO-2                                                                                     8A1661F8
Device    \Driver\usbehci \Device\USBPDO-3                                                                                     8A1181F8
Device    \Driver\usbuhci \Device\USBPDO-4                                                                                     8A1661F8
Device    \Driver\usbuhci \Device\USBPDO-5                                                                                     8A1661F8
Device    \Driver\usbuhci \Device\USBPDO-6                                                                                     8A1661F8
Device    \Driver\Ftdisk \Device\HarddiskVolume1                                                                               8A54C1F8
Device    \Driver\usbehci \Device\USBPDO-7                                                                                     8A1181F8
Device    \Driver\Ftdisk \Device\HarddiskVolume2                                                                               8A54C1F8
Device    \Driver\Cdrom \Device\CdRom0                                                                                         8A04E1F8
Device    \Driver\Cdrom \Device\CdRom1                                                                                         8A04E1F8
Device    \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-12                                                                         8A54B1F8
Device    \Driver\atapi \Device\Ide\IdePort0                                                                                   8A54B1F8
Device    \Driver\atapi \Device\Ide\IdePort1                                                                                   8A54B1F8
Device    \Driver\atapi \Device\Ide\IdePort2                                                                                   8A54B1F8
Device    \Driver\atapi \Device\Ide\IdePort3                                                                                   8A54B1F8
Device    \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-7                                                                          8A54B1F8
Device    \Driver\atapi \Device\Ide\IdePort4                                                                                   8A54B1F8
Device    \Driver\atapi \Device\Ide\IdePort5                                                                                   8A54B1F8
Device    \Driver\sptd \Device\3442595298                                                                                      spau.sys
Device    \Driver\NetBT \Device\NetBt_Wins_Export                                                                              8A1EB368
Device    \Driver\NetBT \Device\NetbiosSmb                                                                                     8A1EB368
Device    \Driver\usbuhci \Device\USBFDO-0                                                                                     8A1661F8
Device    \Driver\usbuhci \Device\USBFDO-1                                                                                     8A1661F8
Device    \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                    8A13A500
Device    \Driver\usbuhci \Device\USBFDO-2                                                                                     8A1661F8
Device    \FileSystem\MRxSmb \Device\LanmanRedirector                                                                          8A13A500
Device    \Driver\usbehci \Device\USBFDO-3                                                                                     8A1181F8
Device    \Driver\Ftdisk \Device\FtControl                                                                                     8A54C1F8
Device    \Driver\usbuhci \Device\USBFDO-4                                                                                     8A1661F8
Device    \Driver\usbuhci \Device\USBFDO-5                                                                                     8A1661F8
Device    \Driver\usbuhci \Device\USBFDO-6                                                                                     8A1661F8
Device    \Driver\usbehci \Device\USBFDO-7                                                                                     8A1181F8
Device    \Driver\aps6fxr7 \Device\Scsi\aps6fxr71                                                                              8A0231F8
Device    \Driver\aps6fxr7 \Device\Scsi\aps6fxr71Port6Path0Target0Lun0                                                         8A0231F8
Device    \FileSystem\Cdfs \Cdfs                                                                                               8A199500

---- Services - GMER 1.0.15 ----

Service   C:\WINDOWS\system32\svchost.exe (*** hidden *** )                                                                    [DISABLED] dclink                                                                                                                                                                                                                                                                                                                            <-- ROOTKIT !!!
Service   C:\WINDOWS\system32\svchost.exe (*** hidden *** )                                                                    [DISABLED] irrnqych                                                                                                                                                                                                                                                                                                                          <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg       HKLM\SYSTEM\CurrentControlSet\Services\dclink@DisplayName                                                            Microsoft Driver
Reg       HKLM\SYSTEM\CurrentControlSet\Services\dclink@Type                                                                   32
Reg       HKLM\SYSTEM\CurrentControlSet\Services\dclink@Start                                                                  4
Reg       HKLM\SYSTEM\CurrentControlSet\Services\dclink@ErrorControl                                                           0
Reg       HKLM\SYSTEM\CurrentControlSet\Services\dclink@ImagePath                                                              %SystemRoot%\system32\svchost.exe -k netsvcs
Reg       HKLM\SYSTEM\CurrentControlSet\Services\dclink@ObjectName                                                             LocalSystem
Reg       HKLM\SYSTEM\CurrentControlSet\Services\dclink@Description                                                            Bietet Startfunktionalit?t f?r DCOM-Dienste.
Reg       HKLM\SYSTEM\CurrentControlSet\Services\dclink\Parameters                                                             
Reg       HKLM\SYSTEM\CurrentControlSet\Services\dclink\Parameters@ServiceDll                                                  C:\WINDOWS\system32\liorlu.dll
Reg       HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@DisplayName                                                          Boot Manager
Reg       HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@Type                                                                 32
Reg       HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@Start                                                                4
Reg       HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@ErrorControl                                                         0
Reg       HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@ImagePath                                                            %SystemRoot%\system32\svchost.exe -k netsvcs
Reg       HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@ObjectName                                                           LocalSystem
Reg       HKLM\SYSTEM\CurrentControlSet\Services\irrnqych@Description                                                          F?hrt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem ausschlie?lich Dienst abh?ngig sind, nicht mehr gestartet werden.
Reg       HKLM\SYSTEM\CurrentControlSet\Services\irrnqych\Parameters                                                           
Reg       HKLM\SYSTEM\CurrentControlSet\Services\irrnqych\Parameters@ServiceDll                                                C:\WINDOWS\system32\liorlu.dll
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                   1726502437
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                   -1327979651
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                   2
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                                     
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                  1
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                               0x65 0x0B 0x62 0xB4 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                     
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                  C:\Programme\DAEMON Tools\
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                               0x17 0xF2 0x5D 0x67 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                            
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                         0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                      0x90 0xBB 0x04 0x3B ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                      
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                0x94 0xAE 0xB5 0xF0 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\dclink@DisplayName                                                                Microsoft Driver
Reg       HKLM\SYSTEM\ControlSet002\Services\dclink@Type                                                                       32
Reg       HKLM\SYSTEM\ControlSet002\Services\dclink@Start                                                                      4
Reg       HKLM\SYSTEM\ControlSet002\Services\dclink@ErrorControl                                                               0
Reg       HKLM\SYSTEM\ControlSet002\Services\dclink@ImagePath                                                                  %SystemRoot%\system32\svchost.exe -k netsvcs
Reg       HKLM\SYSTEM\ControlSet002\Services\dclink@ObjectName                                                                 LocalSystem
Reg       HKLM\SYSTEM\ControlSet002\Services\dclink@Description                                                                Bietet Startfunktionalit?t f?r DCOM-Dienste.
Reg       HKLM\SYSTEM\ControlSet002\Services\dclink\Parameters (not active ControlSet)                                         
Reg       HKLM\SYSTEM\ControlSet002\Services\dclink\Parameters@ServiceDll                                                      C:\WINDOWS\system32\liorlu.dll
Reg       HKLM\SYSTEM\ControlSet002\Services\irrnqych@DisplayName                                                              Boot Manager
Reg       HKLM\SYSTEM\ControlSet002\Services\irrnqych@Type                                                                     32
Reg       HKLM\SYSTEM\ControlSet002\Services\irrnqych@Start                                                                    4
Reg       HKLM\SYSTEM\ControlSet002\Services\irrnqych@ErrorControl                                                             0
Reg       HKLM\SYSTEM\ControlSet002\Services\irrnqych@ImagePath                                                                %SystemRoot%\system32\svchost.exe -k netsvcs
Reg       HKLM\SYSTEM\ControlSet002\Services\irrnqych@ObjectName                                                               LocalSystem
Reg       HKLM\SYSTEM\ControlSet002\Services\irrnqych@Description                                                              F?hrt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem ausschlie?lich Dienst abh?ngig sind, nicht mehr gestartet werden.
Reg       HKLM\SYSTEM\ControlSet002\Services\irrnqych\Parameters (not active ControlSet)                                       
Reg       HKLM\SYSTEM\ControlSet002\Services\irrnqych\Parameters@ServiceDll                                                    C:\WINDOWS\system32\liorlu.dll
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)                 
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                                      1
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                                   0x65 0x0B 0x62 0xB4 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Programme\DAEMON Tools\
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0x17 0xF2 0x5D 0x67 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                             0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x90 0xBB 0x04 0x3B ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0x94 0xAE 0xB5 0xF0 ...

---- EOF - GMER 1.0.15 ----
         

Alt 21.08.2009, 18:30   #8
kira
/// Helfer-Team
 
Cognac Trojaner kann nicht entfernt werden - Standard

Cognac Trojaner kann nicht entfernt werden



hi

habe dich übersehen...sorry
melde Dich bitte wenn Du noch Hilfe benötigst!

gruß
Coverflow

Alt 21.08.2009, 22:29   #9
HausTia
 
Cognac Trojaner kann nicht entfernt werden - Standard

Cognac Trojaner kann nicht entfernt werden



Ja hallo!

Ich habe ja jetzt alles gepostet und ich hätte erwartet das du mir sagen kannst was ich zu tun habe um ihn los zu werden
(außer natürlich es ist bereit geschehen ^^)

Jedenfalls schon mal danke

Lg Haustia

Alt 23.08.2009, 16:07   #10
kira
/// Helfer-Team
 
Cognac Trojaner kann nicht entfernt werden - Standard

Cognac Trojaner kann nicht entfernt werden



hi

1.
- Kopiere den Text aus der Code-Box in ein Notepad-Dokument und speichere ihn als remove.txt auf deiner Festplatte C:\
Code:
ATTFilter
Drivers to delete:
dclink 
irrnqych
Files to delete:
C:\WINDOWS\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
C:\WINDOWS\tasks\{783AF354-B514-42d6-970E-3E8BF0A5279C}.job
C:\WINDOWS\system32\msxml71.dll
         
2.
Wichtig!:
Sofort beim Download/speichern v. Avenger, musst Du die Installdatei also avenger.exe umbenennen! Wähle eine beliebige Dateiname, die Endung soll *.com sein!
→ Lade den Avenger herunter und entzippe ihn auf den Desktop. (direkt als `EXE` *hier* erhältlich )
→ die avenger.exe per Doppelklick starten
→ füge den Inhalt aus der Codebox vollständig und unverändert in das leere Textfeld bei "Input script here" ein
→ dann klicke auf "Execute"
→ wirst Du gefragt, ob Du das Script ausführen willst. Beantworte die Frage "Ja".
→ auf die Fragae ob dein Rechner jetzt neu starten soll "Rebot now" bejahe bitte auch
→ nach Neustart wird ein Dos Fenster aufgehen.
→ wenn wieder geschlossen ist, es öffnet sich der Editor mit die Scanergebnisse : C:\avenger.txt
→ kopiere und füge den Inhalt direkt aus der Textdatei hier rein

3.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
Zitat:
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing)
4.
reinige dein System mit Ccleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

5.
poste erneut:
Trend Micro HijackThis-Logfile
filelist.bat - Nur den letzten sechs Monaten!

Alt 23.08.2009, 18:42   #11
HausTia
 
Cognac Trojaner kann nicht entfernt werden - Standard

Cognac Trojaner kann nicht entfernt werden



Avenger:

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "dclink" deleted successfully.
Driver "irrnqych" deleted successfully.
File "C:\WINDOWS\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job" deleted successfully.
File "C:\WINDOWS\tasks\{783AF354-B514-42d6-970E-3E8BF0A5279C}.job" deleted successfully.

Error:  file "C:\WINDOWS\system32\msxml71.dll" not found!
Deletion of file "C:\WINDOWS\system32\msxml71.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         
HiJackThis:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:35:27, on 23.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avmailc.exe
C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox1.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 1969 bytes
         
Filelist:

Code:
ATTFilter
----- Root ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 6066-3B2E

 Verzeichnis von C:\

23.08.2009  19:37                43 filelist.txt
23.08.2009  19:25     2.145.386.496 pagefile.sys
23.08.2009  18:20               534 RTHDCPL_Dump.txt
23.08.2009  18:19             1.820 avenger.txt
23.08.2009  18:15               212 remove.txt.txt
09.06.2009  18:47               122 fpRedmon.log
08.04.2009  10:35               244 sqmnoopt00.sqm
08.04.2009  10:35               232 sqmdata00.sqm

              23 Datei(en)  2.146.428.960 Bytes
               0 Verzeichnis(se), 111.859.994.624 Bytes frei
 
----- Windows -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 6066-3B2E

 Verzeichnis von C:\WINDOWS

23.08.2009  19:36             1.190 WindowsUpdate.log
23.08.2009  19:26                 0 0.log
23.08.2009  19:26               159 wiadebug.log
23.08.2009  19:26                50 wiaservc.log
23.08.2009  19:25             2.048 bootstat.dat
23.08.2009  19:24            32.548 SchedLgU.Txt
22.08.2009  13:21               116 NeroDigital.ini
12.07.2009  00:19           135.680 msa.exe
21.06.2009  23:27            30.535 scunin.dat
21.06.2009  23:27            69.632 ScUnin.exe
21.06.2009  23:27               967 ScUnin.pif
11.06.2009  00:13               683 win.ini
10.06.2009  15:45           737.280 iun6002.exe
06.04.2009  17:26             6.120 BricoPackFoldersDelete.cmd
06.04.2009  17:26            54.886 BricoPackUninst.txt
06.04.2009  17:26            54.886 BricoPackUninst.cmd
06.04.2009  17:26         3.932.214 BricoPack Wallpaper.bmp

              97 Datei(en)     62.084.796 Bytes
               0 Verzeichnis(se), 111.859.990.528 Bytes frei
 
----- System  --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 6066-3B2E

 Verzeichnis von C:\WINDOWS\system


              25 Datei(en)        929.787 Bytes
               0 Verzeichnis(se), 111.859.990.528 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 6066-3B2E

 Verzeichnis von C:\WINDOWS\system32

23.08.2009  19:26             2.206 wpa.dbl
23.08.2009  19:25            47.604 ativvaxx.cap
24.07.2009  03:57            41.872 xfcodec.dll
10.07.2009  14:48           189.288 PnkBstrB.xtr
10.07.2009  14:48           189.288 PnkBstrB.exe
26.06.2009  22:04            75.064 PnkBstrA.exe
11.06.2009  10:49           292.480 FNTCACHE.DAT
10.06.2009  15:46            67.700 perfc009.dat
10.06.2009  15:46           432.936 perfh009.dat
10.06.2009  15:46           449.478 perfh007.dat
10.06.2009  15:46            80.426 perfc007.dat
10.06.2009  15:46         1.043.802 PerfStringBackup.INI
08.06.2009  15:33         8.676.883 mp3Media2.dll
01.06.2009  18:51        23.635.392 MRT.exe
07.05.2009  17:42           346.624 localspl.dll
29.04.2009  06:51         3.081.728 mshtml.dll
29.04.2009  06:51           618.496 urlmon.dll
29.04.2009  06:51         1.023.488 browseui.dll
29.04.2009  06:51           474.624 shlwapi.dll
29.04.2009  06:51           449.024 mshtmled.dll
29.04.2009  06:51            16.384 jsproxy.dll
29.04.2009  06:51           665.088 wininet.dll
29.04.2009  06:51         1.495.552 shdocvw.dll
29.04.2009  06:51            96.768 inseng.dll
29.04.2009  06:51            39.424 pngfilt.dll
29.04.2009  06:51           146.432 msrating.dll
29.04.2009  06:51           532.480 mstime.dll
29.04.2009  06:51           251.392 iepeers.dll
29.04.2009  06:51           205.312 dxtrans.dll
29.04.2009  06:51            81.920 ieencode.dll
29.04.2009  06:51         1.056.256 danim.dll
29.04.2009  06:51            55.808 extmgr.dll
29.04.2009  06:51           357.888 dxtmsft.dll
29.04.2009  06:51           152.064 cdfview.dll
29.04.2009  06:35           371.200 html.iec
27.04.2009  11:48           374.272 xpsp3res.dll
19.04.2009  22:06         1.846.784 win32k.sys
15.04.2009  17:11           584.192 rpcrt4.dll
06.04.2009  17:26           219.648 uxtheme.dll
05.04.2009  20:12             3.774 jupdate-1.6.0_13-b03.log
21.03.2009  16:20         1.059.840 kernel32.dll
10.03.2009  22:18           970.632 WgaTray.exe
10.03.2009  22:18         1.482.112 LegitCheckControl.dll
10.03.2009  22:18           265.096 WgaLogon.dll
09.03.2009  05:19           148.888 javaws.exe
09.03.2009  05:19           144.792 javaw.exe
09.03.2009  05:19           144.792 java.exe
09.03.2009  05:19           410.984 deploytk.dll
09.03.2009  02:53            73.728 javacpl.cpl
06.03.2009  16:44           286.208 pdh.dll

 
----- Prefetch ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 6066-3B2E

 Verzeichnis von C:\WINDOWS\Prefetch

23.08.2009  19:37            11.020 FIND.EXE-0EC32F1E.pf
23.08.2009  19:37            12.564 CMD.EXE-087B4001.pf
23.08.2009  19:37            83.336 WINRAR.EXE-3588DFE8.pf
23.08.2009  19:35            16.938 NOTEPAD.EXE-336351A9.pf
23.08.2009  19:35           112.000 WMIPRVSE.EXE-28F301A9.pf
23.08.2009  19:34            19.482 HIJACKTHIS.EXE-39024128.pf
23.08.2009  19:32            15.476 VERCLSID.EXE-3667BD89.pf
23.08.2009  19:30             8.000 JQSNOTIFY.EXE-1E60A522.pf
23.08.2009  19:30           108.610 FIREFOX1.EXE-1ECE65F9.pf
23.08.2009  19:27         1.271.890 NTOSBOOT-B00DFAAD.pf
23.08.2009  18:57            55.790 UPDATE.EXE-3398FCD6.pf
23.08.2009  18:43            18.334 GUARDGUI.EXE-147E0160.pf
23.08.2009  18:43           522.414 Layout.ini
23.08.2009  18:27            33.690 CCLEANER.EXE-065E2F3F.pf
23.08.2009  18:27            58.514 AVCENTER.EXE-1D2DB8A2.pf
23.08.2009  18:24            12.314 NET.EXE-01A53C2F.pf
23.08.2009  18:24            13.338 NET1.EXE-029B9DB4.pf
23.08.2009  18:24            14.136 REGEDIT.EXE-1B606482.pf
23.08.2009  18:16            12.734 AVENGERH.COM.EXE-293DB4B7.pf
23.08.2009  17:00             7.508 JAVA.EXE-2167859B.pf
23.08.2009  17:00            12.470 MMMTEST.EXE-0861453A.pf
23.08.2009  16:56            38.382 RAZERTRA.EXE-16BC8261.pf
23.08.2009  16:56            88.552 RAZEROFA.EXE-325B7931.pf
23.08.2009  11:53            73.710 WMPLAYER.EXE-09969338.pf
23.08.2009  10:14            74.896 MFATIGUE.EXE-05956243.pf
23.08.2009  09:03            11.108 RUNDLL32.EXE-451FC2C0.pf
23.08.2009  09:02            45.704 FPASSIST.EXE-18368AA2.pf
23.08.2009  09:02            69.794 CPUPOWERMONITOR.EXE-20929CF4.pf
23.08.2009  09:02            12.744 RAZERHID.EXE-2D2B1F2B.pf
23.08.2009  09:02            10.384 READER_SL.EXE-2FAFE67A.pf
23.08.2009  09:02            10.238 JUSCHED.EXE-336229D9.pf
23.08.2009  09:02            86.340 EXPLORER.EXE-082F38A9.pf
23.08.2009  09:02            88.410 USERINIT.EXE-30B18140.pf
23.08.2009  09:02            71.032 WGATRAY.EXE-0ED38BED.pf
23.08.2009  09:02             5.114 CLISTART.EXE-025897C5.pf
23.08.2009  09:02            10.552 ALCMTR.EXE-235F9538.pf
23.08.2009  09:02             8.020 QTTASK.EXE-2D7EEF34.pf
22.08.2009  22:25           178.716 VLC.EXE-29851A71.pf
22.08.2009  22:25            16.910 DRWTSN32.EXE-2B4B52AC.pf
22.08.2009  22:25            31.098 DWWIN.EXE-30875ADC.pf
22.08.2009  22:00            11.946 NO CD MFATIGUE 1.0 GER.EXE-23210607.pf
22.08.2009  21:59            11.936 NO CD MFATIGUE 1.0 GER.EXE-0767FFF3.pf
22.08.2009  21:59            15.202 TASKMGR.EXE-20256C55.pf
22.08.2009  21:56             8.036 HARDWAREDETECT.EXE-0311D1D5.pf
22.08.2009  21:53             5.200 _ISDEL.EXE-01FF1FA8.pf
22.08.2009  21:53            20.488 _INS5576._MP-192A9953.pf
22.08.2009  21:53            14.798 SETUP.EXE-0F40F254.pf
22.08.2009  21:51            35.000 AMDCPU.EXE-1CF7D36D.pf
22.08.2009  21:33            25.982 JAVAWS.EXE-1714DD62.pf
22.08.2009  21:33            72.248 JAVAW.EXE-0159D575.pf
22.08.2009  21:27            94.128 HELPSVC.EXE-2878DDA2.pf
22.08.2009  19:47            19.530 TCGUARD.EXE-1CA88984.pf
22.08.2009  19:47            87.056 CCC.EXE-1B087988.pf
22.08.2009  19:47            11.202 CPULEVELUPHELP.EXE-1372A4FC.pf
22.08.2009  19:44             6.268 LOGON.SCR-151EFAEA.pf
22.08.2009  14:18           114.276 SOLDAT.EXE-32917C32.pf
21.08.2009  19:59            72.442 DFRGNTFS.EXE-269967DF.pf
21.08.2009  19:59            16.482 DEFRAG.EXE-273F131E.pf
21.08.2009  18:46           100.728 WLMAIL.EXE-07132131.pf
16.08.2009  22:29             6.104 OSD.EXE-0373909B.pf
16.08.2009  22:29             9.412 INITSD.EXE-277CC8B7.pf
16.08.2009  22:29            61.838 SMARTDOCTOR.EXE-250BC6C5.pf
16.08.2009  22:29            11.646 AUTOHOTKEY.EXE-033E2A15.pf
16.08.2009  22:29            51.432 DAEMON.EXE-28AD7272.pf
16.08.2009  22:29            45.078 RTHDCPL.EXE-06918CFA.pf
16.08.2009  22:29            55.132 AVGNT.EXE-39CD89BF.pf
16.08.2009  14:59            18.090 LOGONUI.EXE-0AF22957.pf
16.08.2009  13:59            47.120 GAMEOVERLAYUI.EXE-03CBAF9C.pf
16.08.2009  13:58            64.860 HL2.EXE-27AB5AC8.pf
16.08.2009  13:53            54.306 STEAM.EXE-25824B4E.pf
16.08.2009  12:04            13.834 RUNDLL32.EXE-17FD73B3.pf
16.08.2009  12:02            19.798 AACENTER.EXE-3AA8B488.pf
16.08.2009  12:02            21.348 MSMSGS.EXE-32066BA5.pf
16.08.2009  12:02            10.662 ADOBE GAMMA LOADER.EXE-1FD09C3A.pf
14.08.2009  19:03            51.614 WMPLAYER.EXE-09969339.pf
14.08.2009  19:03            50.306 4NZGRNR8.EXE-2E2ED85B.pf
14.08.2009  19:02            11.132 RUNDLL32.EXE-268BFF96.pf
14.08.2009  18:59            19.346 FLASHPLAYERUPDATE.EXE-12E46C19.pf
14.08.2009  18:59             4.718 NS8.TMP-03AD538D.pf
14.08.2009  18:59            11.130 NPSWF32_FLASHUTIL.EXE-25560C89.pf
14.08.2009  18:59            11.646 AU_.EXE-04365CA0.pf
14.08.2009  18:59            12.918 UNINSTALL_PLUGIN.EXE-1B14221A.pf
14.08.2009  18:58            47.914 MOM.EXE-36B2EDCA.pf
14.08.2009  18:58            19.040 PWSAVE.EXE-192F99AA.pf
14.08.2009  18:54            17.432 RUNDLL32.EXE-327ED30F.pf
14.08.2009  18:29            35.952 RUNDLL32.EXE-24812177.pf
14.08.2009  18:29            47.584 AVSCAN.EXE-25724B6E.pf
14.08.2009  18:27           122.826 FIREFOX.EXE-1D57670A.pf
09.08.2009  21:07            72.676 WAR3.EXE-3858031C.pf
09.08.2009  21:07            19.990 FROZEN THRONE.EXE-0ED0B3D3.pf
09.08.2009  11:00            97.676 CRYPTLOAD.EXE-2DA99FFF.pf
07.08.2009  21:22            43.920 TEAMSPEAK.EXE-1C1FA5B1.pf
07.08.2009  19:38            20.784 W32MKDE.EXE-297E6F1D.pf
07.08.2009  19:38            33.410 COMTEST.EXE-19C55BF2.pf
07.08.2009  19:24            39.786 MIRC.EXE-10C67652.pf
07.08.2009  19:24            15.134 AGENTSVR.EXE-002E45AB.pf
07.08.2009  10:08            29.266 RESTARTER.EXE-21886ED5.pf
06.08.2009  23:34           135.172 IEXPLORE.EXE-2CA9778D.pf
06.08.2009  23:05            64.970 XFIRE.EXE-021C4593.pf
06.08.2009  12:17            43.844 MSA.EXE-1E98B210.pf
07.07.2009  00:29            20.812 WUAUCLT.EXE-399A8E72.pf
07.07.2009  00:27            34.400 AVWSC.EXE-24612965.pf
21.03.2009  10:58            36.228 AVWSC.EXE-21794CE9.pf
             103 Datei(en)      5.757.496 Bytes
               0 Verzeichnis(se), 111.859.863.552 Bytes frei
 
----- Tasks ---------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 6066-3B2E

 Verzeichnis von C:\WINDOWS\tasks

23.08.2009  19:25                 6 SA.DAT

               2 Datei(en)             71 Bytes
               0 Verzeichnis(se), 111.859.863.552 Bytes frei
 
----- Windows/Temp ----------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 6066-3B2E

 Verzeichnis von C:\WINDOWS\Temp

23.08.2009  19:26            16.384 Perflib_Perfdata_258.dat
23.08.2009  19:25               483 WGAErrLog.txt
12.05.2009  19:27            94.228 Microsoft .NET Framework 3.5-KB958484_20090512_172718312.html
12.05.2009  19:27           113.324 Microsoft .NET Framework 3.0-KB958483_20090512_172652718.html
12.05.2009  19:26           506.044 Microsoft .NET Framework 2.0-KB958481_20090512_172500218.html
20.04.2009  00:25           524.288 TMP00000001008EC730F6AD82A0
20.04.2009  00:25         4.604.240 mpengine.dll
               7 Datei(en)      5.858.991 Bytes
               0 Verzeichnis(se), 111.859.863.552 Bytes frei
 
----- Temp ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 6066-3B2E

 Verzeichnis von C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp

23.08.2009  19:36                 0 etilqs_ZhfwvXJnxSM9zR3Xz7SU
23.08.2009  19:34           114.688 ~DF9CA7.tmp
23.08.2009  18:21           114.688 ~DF58DE.tmp
23.08.2009  18:20            16.384 ~DFFEC.tmp
23.08.2009  17:00           193.378 jusched.log
22.08.2009  21:33             7.617 java_install_reg.log
07.08.2009  19:38            13.592 temp.ani
07.08.2009  19:37           208.896 drm_dyndata_7360006.dll
03.08.2009  12:33            69.727 MicCal.bin
09.07.2009  22:37            22.432 mod13F.tmp
09.07.2009  22:37                34 mod13D.tmp
09.07.2009  22:37               435 mod13E.tmp
09.07.2009  22:37            22.432 mod13C.tmp
09.07.2009  22:37                34 mod13A.tmp
09.07.2009  22:37               437 mod13B.tmp
09.07.2009  01:31         4.780.760 DWPUpgradeInstaller.exe
07.06.2009  12:17               141 browserview-e2f090.htm
07.06.2009  12:17            45.187 browserview-1d42150.htm
22.05.2009  20:06               141 browserview-3455b00.htm
22.05.2009  20:06               141 browserview-e1d4b0.htm
22.05.2009  20:06            40.795 browserview-1cf6870.htm
21.05.2009  11:31               141 browserview-37cd008.htm
21.05.2009  11:31               141 browserview-e1d3b8.htm
21.05.2009  11:31            44.923 browserview-1ce8778.htm
25.04.2009  16:23               141 browserview-df1ad8.htm
25.04.2009  16:23             4.595 browserview-1c805f8.htm
19.04.2009  21:19         1.532.928 11a68f.mst
12.04.2009  22:48               141 browserview-dd0538.htm
12.04.2009  22:48            55.432 browserview-1aaea78.htm
06.04.2009  17:29               141 browserview-dd1af0.htm
06.04.2009  17:29            55.147 browserview-1a6c7d0.htm
06.04.2009  17:27               798 PrePict.htm
05.04.2009  22:57               141 browserview-d81030.htm
05.04.2009  22:57            51.799 browserview-1a27f18.htm
05.04.2009  20:12         1.532.928 67775.mst
04.04.2009  14:53               141 browserview-34b3500.htm
04.04.2009  14:53               141 browserview-d81110.htm
04.04.2009  14:53            41.897 browserview-1a23790.htm
02.04.2009  19:38               141 browserview-30ee9d8.htm
29.03.2009  22:03               141 browserview-30bff78.htm
29.03.2009  22:03               141 browserview-d80b78.htm
29.03.2009  22:03            55.982 browserview-1a4caa0.htm
29.03.2009  05:43               141 browserview-d814a0.htm
29.03.2009  05:43            51.351 browserview-1a03ca8.htm
25.03.2009  09:02           607.640 jre-6u13-windows-i586-p-iftw.exe
21.03.2009  16:35               141 browserview-d81028.htm
21.03.2009  16:35            41.901 browserview-19fcaa8.htm
18.03.2009  21:57            12.304 etilqs_946sXXhHmIXIyCoH69a3
14.03.2009  17:54               141 browserview-d7ee38.htm
14.03.2009  17:54            50.814 browserview-19cfa88.htm
01.03.2009  01:33               141 browserview-2f11f40.htm
01.03.2009  01:33               141 browserview-d80568.htm
01.03.2009  01:33            49.958 browserview-1958480.htm
28.02.2009  19:48               141 browserview-d80470.htm
28.02.2009  19:48            55.268 browserview-1949750.htm
28.02.2009  13:30               141 browserview-dcf2e0.htm
28.02.2009  13:30            40.985 browserview-1995080.htm

              60 Datei(en)     10.209.019 Bytes
               0 Verzeichnis(se), 111.859.859.456 Bytes frei
         
Danke für die Hilfe!

Alt 23.08.2009, 19:02   #12
kira
/// Helfer-Team
 
Cognac Trojaner kann nicht entfernt werden - Standard

Cognac Trojaner kann nicht entfernt werden



hi

1.
was ist mit dein Logfile v. Trend Micro/HijackThis pssiert? wieso so kurz? Hoffe nicht dass Du (fast) alles gefixt hast?
Du solltest wie hier beschrieben habe 1 Eintrag fixen:-> http://www.trojaner-board.de/75293-c...tml#post458775

Fallso doch, dann mache bitte folgendes:
Zitat:
starte Hijackthis --> "View the list of backups"
bis auf:
Zitat:
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing)
alle versehentlich gelöschte Einträge anhacken bzw auf "Restore" klicken/wiederherstellen...
ein neues Logfile erstellen und posten
2.
Verwende bitte den Avenger nochmal (laut Anleitung!) - vorher das `alte Backup` (mit die gelöschten Dateien) löschen
Code:
ATTFilter
Files to delete:
C:\WINDOWS\msa.exe
         

Alt 26.08.2009, 10:07   #13
HausTia
 
Cognac Trojaner kann nicht entfernt werden - Standard

Cognac Trojaner kann nicht entfernt werden



Ich bin schon ein Problemkind was? xD

HijackThis:
Code:
ATTFilter
 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:01:08, on 26.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe
C:\Programme\Razer\Lachesis\razerhid.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Razer\Lachesis\OSD.exe
C:\Programme\Avira\AntiVir Desktop\avmailc.exe
C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\Programme\Razer\Lachesis\razertra.exe
C:\Programme\Razer\Lachesis\razerofa.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox1.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [CPU Power Monitor] "C:\Program Files\ASUS\Ai Suite\AiGear3\CpuPowerMonitor.exe"
O4 - HKLM\..\Run: [Lachesis] C:\Programme\Razer\Lachesis\razerhid.exe
O4 - HKLM\..\Run: [Cpu Level Up help] C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe  /start
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: My_AutoWarkey_Script.lnk = C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 5744 bytes
         
Avenger:

Code:
ATTFilter
 Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\msa.exe" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Alt 26.08.2009, 22:22   #14
kira
/// Helfer-Team
 
Cognac Trojaner kann nicht entfernt werden - Standard

Cognac Trojaner kann nicht entfernt werden



hi

So sieht die Welt gleich ganz anders aus...:aplaus:

1.
- den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw
- Entferne Gmer
- C:\avenger\backup.zip löschen– (mit den Inhalt der gelöschten Dateien) → Papierkorb leeren

2.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
  • Start → ausführen "cleanmgr" reinschreiben ohne "" → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) muss geleert werden→ "Ok"
  • [b]Start → ausführen → %temp% reinschreiben ohne ""→ "Ok"
  • für jedes Benutzerkonto bitte durchführen
  • anschließend den Papierkorb leeren

3.
reinige dein System mit Ccleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

4.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
  • Installieren und per Doppelklick starten.
  • Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
  • "Komplett Scan durchführen" wählen (überall Haken setzen)
  • wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
  • alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
  • Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"
eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

5.
  • lade Dir SUPERAntiSpyware FREE Edition herunter.
  • installiere das Programm und update online.
  • starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
  • setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
  • anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
  • auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
  • um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
  • drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

Alt 27.08.2009, 11:05   #15
HausTia
 
Cognac Trojaner kann nicht entfernt werden - Standard

Cognac Trojaner kann nicht entfernt werden



heyy

Malwarebytes:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2702
Windows 5.1.2600 Service Pack 2

27.08.2009 01:13:13
mbam-log-2009-08-27 (01-13-13).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|)
Durchsuchte Objekte: 205936
Laufzeit: 54 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Typelib\{40196867-19f8-7157-c097-ecaff653c9ad} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ColdWare (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Gamers.IRC\bin\dll\dmu.dll (Trojan.Bot) -> Quarantined and deleted successfully.
C:\Programme\Gamers.IRC\bin\dll\SysTray.dll (Trojan.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FA7086A1-0AFA-458A-B10D-7A7F20B1C755}\RP15\A0002085.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FA7086A1-0AFA-458A-B10D-7A7F20B1C755}\RP16\A0002498.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FA7086A1-0AFA-458A-B10D-7A7F20B1C755}\RP16\A0002500.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FA7086A1-0AFA-458A-B10D-7A7F20B1C755}\RP16\A0002513.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FA7086A1-0AFA-458A-B10D-7A7F20B1C755}\RP4\A0000370.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Patrick R\Desktop\CryptLoad_1.1.4\router\FRITZ!Box\nc.exe (PuP.Keylogger) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
         
SUPERantispyware:

Code:
ATTFilter
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 08/27/2009 at 11:50 AM

Application Version : 4.27.1002

Core Rules Database Version : 4072
Trace Rules Database Version: 2012

Scan type       : Complete Scan
Total Scan Time : 00:22:21

Memory items scanned      : 625
Memory threats detected   : 0
Registry items scanned    : 6632
Registry threats detected : 0
File items scanned        : 22802
File threats detected     : 3

Adware.Vundo/Variant-MSFake
	C:\DOKUMENTE UND EINSTELLUNGEN\PATRICK R\DESKTOP\SPIELE\TC\AGE2_X1.EXE
	C:\DOKUMENTE UND EINSTELLUNGEN\PATRICK R\DESKTOP\SPIELE\TC\AOE\AGE2_X1.EXE
	C:\DOKUMENTE UND EINSTELLUNGEN\PATRICK R\DESKTOP\SPIELE\TC\AOE\AOE\AGE2_X1.EXE
         

Antwort

Themen zu Cognac Trojaner kann nicht entfernt werden
adobe, antivir, antivir guard, asus, avira, bho, bonjour, desktop, einstellungen, excel, firefox, hijack, hijackthis, hkus\s-1-5-18, internet explorer, kann nicht entfernt werden, löschen, microsoft, mozilla, ordner, plug-in, programme, software, system, trojaner, windows, windows xp, öffnet



Ähnliche Themen: Cognac Trojaner kann nicht entfernt werden


  1. Windows Vista: Trojaner ActiveClient 6.1 x86 kann von Avast nicht entfernt werden
    Log-Analyse und Auswertung - 29.07.2014 (15)
  2. Trojaner - TR/Agent.qoud kann nicht entfernt werden.
    Plagegeister aller Art und deren Bekämpfung - 19.12.2013 (9)
  3. Nationzoom kann nicht entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 04.12.2013 (1)
  4. BKA Trojaner 1.16 kann nicht entfernt werden
    Log-Analyse und Auswertung - 11.04.2013 (9)
  5. BKA Trojaner der Version 1.13 kann mit der Kaspersky-Rescue-Disc nicht entfernt werden
    Log-Analyse und Auswertung - 13.10.2012 (6)
  6. BKA Trojaner kann NICHT entfernt werden?
    Plagegeister aller Art und deren Bekämpfung - 03.10.2012 (8)
  7. Backdoor.win32 Trojaner kann nicht entfernt werden
    Log-Analyse und Auswertung - 20.08.2012 (1)
  8. Virtumonde.prx kann nicht entfernt werden
    Log-Analyse und Auswertung - 09.08.2011 (23)
  9. Olmarik MBR Trojaner kann nicht entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 03.05.2011 (3)
  10. Trojaner userinit (Trojan.Agent) kann nicht entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 16.07.2010 (2)
  11. Trojaner / Backdoor kann nicht entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 10.07.2010 (5)
  12. Trojaner TR/Dropper.Gen kann nicht entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 31.12.2009 (1)
  13. Trojaner kann nicht entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 26.02.2009 (2)
  14. brastk kann nicht entfernt werden.
    Log-Analyse und Auswertung - 02.11.2008 (53)
  15. TR/VB.agt.4 hilfe! der trojaner kann nicht entfernt werden
    Mülltonne - 23.10.2007 (0)
  16. W32.ICRBot kann nicht entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 10.09.2005 (2)
  17. Trojaner "Trojan-Downloader.JS.Psyme.ap" kann nicht entfernt werden...
    Mülltonne - 05.06.2005 (0)

Zum Thema Cognac Trojaner kann nicht entfernt werden - Ich habe erstmal gegoogelt und habe dabei herausgefunden, dass dieser Trojaner sich verfielfacht. Jedoch öffnet sich bei mir plötzlich der Internet-Explorer voller Werbung. In C:\Dokumente und Einstellungen\Patrick R\Lokale Einstellungen\Temp existiert - Cognac Trojaner kann nicht entfernt werden...
Archiv
Du betrachtest: Cognac Trojaner kann nicht entfernt werden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.