Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Weiterführung meines Threads / Bereinigung des PCs

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.07.2009, 17:52   #1
Cherry
 
Weiterführung meines Threads / Bereinigung des PCs - Standard

Weiterführung meines Threads / Bereinigung des PCs



Link zu meinem alten Thread: http://www.trojaner-board.de/75714-m...tml#post451666
Also...Ich bin eine Art "Schülerin" auf dem TB. Habe auch von vielen Unterstützung bekommen. Und wie Gott es sah: In meinen Kreisen infizierte sich Jemand schön ordentlich. Ich werde versuchen , den PC wieder zu bereinigen , doch dafür brauch ich eure Unterstützung. Besonders bedanke ich mich hier schon mal bei myrtille.
Die letzten Funde von AntVir (Mehr konnte ich nicht herausfinden):
Zitat:
Die Datei 'C:\System Volume Information\_restore{2EEFC360-2A8B-4372-A416-1ABEB42D0973}\RP28\A0018266.exe'
enthielt einen Virus oder unerwünschtes Programm 'ADSPY/Advantage.C' [adware].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4be6909d.qua' verschoben!

Die Datei 'C:\System Volume Information\_restore{2EEFC360-2A8B-4372-A416-1ABEB42D0973}\RP28\A0018267.exe'
enthielt einen Virus oder unerwünschtes Programm 'ADSPY/Agent.omi' [adware].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a9c861d.qua' verschoben!

Die Datei 'C:\System Volume Information\_restore{2EEFC360-2A8B-4372-A416-1ABEB42D0973}\RP78\A0044919.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.436733' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4be9717e.qua' verschoben!

Die Datei 'C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\57\32952e79-4488bde9'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/Dldr.Agent.J' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aa5861e.qua' verschoben!

Die Datei 'C:\Dokumente und Einstellungen\Matthias\Lokale Einstellungen\Temp\plugtmp-2\plugin-readme.pdf'
enthielt einen Virus oder unerwünschtes Programm 'TR/Horse.P' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ae18658.qua' verschoben!

Die Datei 'C:\System Volume Information\_restore{2EEFC360-2A8B-4372-A416-1ABEB42D0973}\RP28\A0018265.exe'
enthielt einen Virus oder unerwünschtes Programm 'ADSPY/Advantage.C' [adware].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a9c861c.qua' verschoben!
GMER:
Zitat:
GMER 1.0.15.14972 - GMER - Rootkit Detector and Remover
Rootkit scan 2009-07-26 22:22:04
Windows 5.1.2600 Service Pack 3


---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 00: rootkit-like behavior; <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 08: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 09: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 10: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 11: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 12: rootkit-like behavior;

---- System - GMER 1.0.15 ----

SSDT \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation) ZwEnumerateKey [0x80623FF0]
SSDT \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation) ZwEnumerateValueKey [0x8062425A]
SSDT \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation) ZwQueryDirectoryFile [0x80579E64]
SSDT \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation) ZwQuerySystemInformation [0x806110B6]

Code \WINDOWS\system32\ntkrnlpa.exe (NT-Kernel und -System/Microsoft Corporation) ZwSetEvent [0x8060D332]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\System32\svchost.exe (*** hidden *** ) [AUTO] WZCSVC <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----
HiJackThis:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:25:47, on 26.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Lexmark 6200 Series\lxbumon.exe
C:\Programme\Lexmark 6200 Series\ezprint.exe
C:\WINDOWS\system32\lxbucoms.exe
C:\WINDOWS\system32\NSP.exe
C:\WINDOWS\system32\XSBMON.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\PowerISO\PWRISOVM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSI\US54SE_Utility\ZDWlan.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox 3\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askR...5&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askR...5&gct=&gc=1&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askR...gct=&gc=1&q=%s
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LXBUCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBUtim e.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxbumon.exe] "C:\Programme\Lexmark 6200 Series\lxbumon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 6200 Series\ezprint.exe"
O4 - HKLM\..\Run: [NSP] C:\WINDOWS\system32\NSP.exe
O4 - HKLM\..\Run: [XSB] C:\WINDOWS\system32\XSBMON.EXE
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: MSI US54SE 802.11b+g USB Stick Utility.lnk = C:\Programme\MSI\US54SE_Utility\ZDWlan.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1241037176171
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: lxbu_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbucoms.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 6852 bytes
Ich sollte die NSP.exe und die XSBMON.exe bei virustotal hochladen.
Die NSP.exe war ohne Ergebnis.
Die XSBMON.exe:
Zitat:
AntiVir 7.9.0.228 2009.07.27 -
Antiy-AVL 2.0.3.7 2009.07.27 Virus/Win32.Xorer.gen
Authentium 5.1.2.4 2009.07.26 -
Avast 4.8.1335.0 2009.07.26 -
BitDefender 7.2 2009.07.27 -
CAT-QuickHeal 10.00 2009.07.27 -
ClamAV 0.94.1 2009.07.27 -
Comodo 1782 2009.07.27 UnclassifiedMalware
DrWeb 5.0.0.12182 2009.07.27 Adware.Bazooka
eSafe 7.0.17.0 2009.07.26 -
eTrust-Vet 31.6.6642 2009.07.27 Win32/VMalum.COZO
F-Prot 4.4.4.56 2009.07.26 -
F-Secure 8.0.14470.0 2009.07.27 -
Fortinet 3.120.0.0 2009.07.27 -
GData 19 2009.07.27 -
Ikarus T3.1.1.64.0 2009.07.27 Backdoor.Win32.Udps.10.e
Jiangmin 11.0.800 2009.07.27 -
K7AntiVirus 7.10.802 2009.07.25 Backdoor.Win32.Udps
Kaspersky 7.0.0.125 2009.07.27 -
McAfee 5689 2009.07.26 Generic.dx
McAfee+Artemis 5689 2009.07.26 Generic.dx
McAfee-GW-Edition 6.8.5 2009.07.27 -
Microsoft 1.4903 2009.07.27 -
NOD32 4281 2009.07.27 probably a variant of Win32/Agent
Norman 6.01.09 2009.07.24 W32/Malware.BUJT
nProtect 2009.1.8.0 2009.07.27 -
Panda 10.0.0.14 2009.07.26 Trj/CI.A
PCTools 4.4.2.0 2009.07.27 -
Prevx 3.0 2009.07.27 Medium Risk Malware
Rising 21.40.03.00 2009.07.27 -
Sophos 4.44.0 2009.07.27 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.07.26 -
Symantec 1.4.4.12 2009.07.27 -
TheHacker 6.3.4.3.374 2009.07.26 Backdoor/Udps.10.e
TrendMicro 8.950.0.1094 2009.07.27 TROJ_AWOR.I
VBA32 3.12.10.9 2009.07.27 Backdoor.Win32.Udps.10.e
weitere Informationen
File size: 192512 bytes
MD5...: bb541ce011fc9f24ac7c5c11ccdb1420
SHA1..: 1a97b8a098971fff339aeed2129f377db3e8b1de
SHA256: 0741b8eb95b455a6c62a550b763e8bca77fb17c040870303a3 9d9416ba39f60c
ssdeep: 3072:kgq6ang4zGQefaDcH8OAsmIvPRknDbg4/ATuopY48o8JnBKRm:hx4zGqDmJ
AsmP/OuoB6A
PEiD..: Armadillo v1.71
TrID..: File type identification
Win64 Executable Generic (54.6%)
Win32 Executable MS Visual C++ (generic) (24.0%)
Windows Screen Saver (8.3%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x977c
timedatestamp.....: 0x429e78cc (Thu Jun 02 03:11:08 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1ff7b 0x20000 6.59 ae69cca4913b13cac1abd1393c818b90
.rdata 0x21000 0x8592 0x9000 4.54 4d867504b82bde5e4cf4b15939a3246e
.data 0x2a000 0x6348 0x2000 4.48 5bfbeaa5fac856d6bc56bce4d2d06bcd
.rsrc 0x31000 0x21f8 0x3000 3.72 35526e9bfe7de5560cc4c565b6fb29af

( 11 imports )
> KERNEL32.dll: HeapReAlloc, HeapSize, GetACP, GetTimeZoneInformation, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, RaiseException, LCMapStringW, SetUnhandledExceptionFilter, GetStringTypeA, GetStringTypeW, IsBadReadPtr, IsBadCodePtr, SetStdHandle, CompareStringA, CompareStringW, SetEnvironmentVariableA, HeapFree, GetProfileStringA, HeapAlloc, ExitProcess, GetCommandLineA, GetStartupInfoA, RtlUnwind, GetFileTime, GetFileSize, GetFileAttributesA, GetTickCount, FileTimeToLocalFileTime, FileTimeToSystemTime, GetFullPathNameA, GetVolumeInformationA, FindFirstFileA, FindClose, SetEndOfFile, UnlockFile, LockFile, FlushFileBuffers, SetFilePointer, WriteFile, GetCurrentProcess, DuplicateHandle, SetErrorMode, GetOEMCP, GetCPInfo, GetThreadLocale, SizeofResource, GetProcessVersion, WritePrivateProfileStringA, GlobalFlags, TlsGetValue, LocalReAlloc, TlsSetValue, GlobalReAlloc, TlsFree, GlobalHandle, TlsAlloc, LocalAlloc, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, InitializeCriticalSection, lstrcpynA, MulDiv, SetLastError, LoadLibraryA, FreeLibrary, lstrcatA, GlobalGetAtomNameA, GlobalAddAtomA, GlobalFindAtomA, lstrcpyA, GetModuleHandleA, GetProcAddress, GlobalUnlock, GlobalFree, LockResource, FindResourceA, LoadResource, GlobalLock, GlobalAlloc, GlobalDeleteAtom, lstrcmpA, lstrcmpiA, GetCurrentThread, GetCurrentThreadId, MultiByteToWideChar, WideCharToMultiByte, lstrlenA, InterlockedDecrement, InterlockedIncrement, CreateFileA, ReadFile, CloseHandle, GetModuleFileNameA, OpenProcess, TerminateProcess, CreateEventA, GetSystemDirectoryA, GetVersion, GetLastError, FormatMessageA, LocalFree, LCMapStringA
> USER32.dll: InvalidateRect, CharUpperA, InflateRect, RegisterClipboardFormatA, PostThreadMessageA, GetTopWindow, IsChild, GetCapture, WinHelpA, wsprintfA, GetClassInfoA, RegisterClassA, GetMenu, GetMenuItemCount, GetSubMenu, GetMenuItemID, DefWindowProcA, CreateWindowExA, GetClassLongA, SetPropA, UnhookWindowsHookEx, GetPropA, CallWindowProcA, RemovePropA, GetMessageTime, GetMessagePos, GetForegroundWindow, SetForegroundWindow, RegisterWindowMessageA, OffsetRect, IntersectRect, SystemParametersInfoA, GetWindowPlacement, GetWindowRect, MapDialogRect, GetWindow, SetWindowContextHelpId, EndDialog, SetActiveWindow, IsWindow, CreateDialogIndirectParamA, DestroyWindow, SetFocus, ShowWindow, MoveWindow, SetWindowLongA, GetNextDlgGroupItem, GetWindowTextLengthA, GetWindowTextA, SetWindowTextA, IsDialogMessageA, SendDlgItemMessageA, GetDlgItem, GetMenuCheckMarkDimensions, DestroyMenu, GetMenuState, ModifyMenuA, SetMenuItemBitmaps, CheckMenuItem, EnableMenuItem, GetFocus, GetNextDlgTabItem, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, GetKeyState, CallNextHookEx, LoadIconA, SetTimer, SendMessageA, UnregisterClassA, HideCaret, ShowCaret, ExcludeUpdateRgn, DrawFocusRect, ValidateRect, IsWindowVisible, PeekMessageA, GetCursorPos, SetWindowsHookExA, GetParent, GetLastActivePopup, IsWindowEnabled, GetWindowLongA, MessageBoxA, SetCursor, PostQuitMessage, PostMessageA, EnableWindow, CharNextA, GetWindowThreadProcessId, FindWindowA, IsIconic, SetWindowPos, GetSystemMetrics, GetClientRect, DefDlgProcA, IsWindowUnicode, DrawIcon, SetRect, CopyAcceleratorTableA, GetSysColorBrush, PtInRect, GetClassNameA, GetDesktopWindow, LoadCursorA, LoadStringA, GrayStringA, DrawTextA, TabbedTextOutA, EndPaint, BeginPaint, GetWindowDC, ReleaseDC, GetDC, ClientToScreen, UpdateWindow, MapWindowPoints, GetSysColor, AdjustWindowRectEx, ScreenToClient, LoadBitmapA, MessageBeep, GetDlgCtrlID, CopyRect
> GDI32.dll: SetWindowExtEx, ScaleWindowExtEx, IntersectClipRect, DeleteObject, GetDeviceCaps, GetViewportExtEx, GetWindowExtEx, CreateSolidBrush, PtVisible, RectVisible, TextOutA, ExtTextOutA, Escape, GetTextColor, GetBkColor, DPtoLP, LPtoDP, GetMapMode, PatBlt, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SetMapMode, SetBkMode, GetStockObject, SelectObject, RestoreDC, SaveDC, DeleteDC, GetObjectA, SetBkColor, SetTextColor, GetClipBox, CreateDIBitmap, GetTextExtentPointA, BitBlt, CreateCompatibleDC, CreateBitmap
> comdlg32.dll: GetFileTitleA
> WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, OpenPrinterA
> ADVAPI32.dll: RegOpenKeyExA, RegSetValueExA, CloseServiceHandle, RegCreateKeyExA, RegCloseKey, OpenServiceA, QueryServiceStatus, OpenSCManagerA, CreateServiceA
> COMCTL32.dll: -
> oledlg.dll: -
> ole32.dll: CoFreeUnusedLibraries, OleInitialize, CoTaskMemAlloc, CoTaskMemFree, CreateILockBytesOnHGlobal, StgCreateDocfileOnILockBytes, StgOpenStorageOnILockBytes, CoGetClassObject, CLSIDFromString, CLSIDFromProgID, CoRegisterMessageFilter, CoRevokeClassObject, OleFlushClipboard, OleIsCurrentClipboard, OleUninitialize
> OLEPRO32.DLL: -
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=bb541ce011fc9f24ac7c5c11ccdb1420' target='_blank'>http://www.threatexpert.com/report.aspx?md5=bb541ce011fc9f24ac7c5c11ccdb1420</a>
packers (Antiy-AVL): Armadillo 1.71
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=E0DC21B4001A8DCCF01F02471 3D02500DB776563' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=E0DC21B4001A8DCCF01F02471 3D02500DB776563</a>
Ich bitte alle , die mir helfen wollen , meinen ersten Thread durchzulesen.
Vielen Dank und schöne Grüße ,
Cherry

Alt 27.07.2009, 18:12   #2
myrtille
/// TB-Ausbilder
 
Weiterführung meines Threads / Bereinigung des PCs - Standard

Weiterführung meines Threads / Bereinigung des PCs



Hi,

dann machen wir doch gleich ma weiter...
Wenn du die Antworten selbst finden willst, dann wird sich das ganze etwas in die Länge ziehen. Da wir noch nicht genau wissen, was alles auf dem Rechner ist, würde ich empfehlen a) sicherheitshalber Passwörter von nem sauberen rechner aus zu wechseln und b) den Rechner möglichst wenig mit dem Inet zu verbinden.
Wenn du ne "schnelle" Bereinigung willst, sag das, dann machen wir das.

Was kannst du mir zu den Funden von Antivir sagen? Wie gefährlich sind die?
__________________

__________________

Alt 27.07.2009, 19:14   #3
Cherry
 
Weiterführung meines Threads / Bereinigung des PCs - Standard

Weiterführung meines Threads / Bereinigung des PCs



Ganz gefährlich Die Welt geht jetzt unter (:
Also das so einfach , das bekomm sogar ich hin ;D
ADSPY/Advantage.C hat bei Avira noch keinen Steckbrief bekommen und ansonsten finde ich nur das: Adware.Whenu.BSQ Ein wunderbares Bericht von Bitdefender (: Die Adware ist harmlos , aber weit verbeitet. Wenn es die Gleiche ist.
Bei ADSPY/Agent.omi gab es nur einen (wahrscheinlichen) Familienfreund: ADSPY/Agent.AP.7 - Kurzfassung
Ich glaube , die Funde sind noch ziemlich neu. Oder ich kann wirklich keine Suchmaschinen bedienen

Den Trojaner Agent gibt es öfter , je nach welcher Version gefährlicher oder harmloser. Eine Beschreibung mit dem richtigen Zahlencode hinter dem Hauptnamen hab ich nicht gefunden

Der JAVA/Dldr.Agent.J ist ein Downloader , ladet also viel fleißig aus dem Internet nach. Die Datei , die nachgeladen wird , konnte noch nicht untersucht werden , das sie der Firma noch nicht vorliegt.

Über den Trojan/Horse.P gibt's bei Google zwar viel , aber ich trau' den Links da nicht so wirklich

Wie wär's , wenn ich mal mit SUPERAntiSpyware scanne ? (:
__________________

Alt 27.07.2009, 19:47   #4
Cherry
 
Weiterführung meines Threads / Bereinigung des PCs - Standard

Weiterführung meines Threads / Bereinigung des PCs



Hab gerade erfahren , das der PC neu aufgesetzt wird.
Schade , aber ein wenig lernen konnte ich ja mal schon (:

Alt 27.07.2009, 20:27   #5
myrtille
/// TB-Ausbilder
 
Weiterführung meines Threads / Bereinigung des PCs - Standard

Weiterführung meines Threads / Bereinigung des PCs



Hi,

ja SUPERAntiSpyware oder MBAM würden das sicherlich bereinigen, zur Not mit etwas schützenhilfe von andern Tools. Formatieren ist aber immer die sicherste Variante.

Du hast jetzt die Malware rausgesucht, kannst du mir auch etwas über die Ordner sagen, in dem die Dateien gefunden wurdne?

lg myrtille

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 28.07.2009, 10:55   #6
Cherry
 
Weiterführung meines Threads / Bereinigung des PCs - Standard

Weiterführung meines Threads / Bereinigung des PCs



Da der PC ja eh heute Abend oder morgen neue aufgesetzt wird , kann ich ja jetzt noch ein bisschen experimentieren. Über die Ordner kann ich jetzt nichts sagen , da es versteckte Ordner sind. Wie macht man eigentlich versteckte Dateien sichtbar ?
Was mich jetzt noch beunruhigt:

Ähm , ich scann' dann jetzt mal mit Superantispyware (:
Liebe Grüße !

Alt 28.07.2009, 11:11   #7
Cherry
 
Weiterführung meines Threads / Bereinigung des PCs - Standard

Weiterführung meines Threads / Bereinigung des PCs



Das dauert noch was. Bin mal kurz off (:
Cherry

Alt 28.07.2009, 13:03   #8
myrtille
/// TB-Ausbilder
 
Weiterführung meines Threads / Bereinigung des PCs - Standard

Weiterführung meines Threads / Bereinigung des PCs



Hi,

eine der wichtigsten Eigenschaften die ein Helfer braucht ist googlen zu können...

Ich bin sicher es gibt jede Menge Treffer für versteckte Dateien sichtbar machen. link

Ich war außerdem mal so frei "cache" zu googlen: link-wiki
und system volume information auch: link

Der Ordner in dem die Datei liegt, hilft häufig weiter als der Dateiname selbst.

Hast du in die gefundenen Ordner mal reingeschaut? Welche Dateien finden sich darin? Erkennst du einige?

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 28.07.2009, 13:49   #9
Cherry
 
Weiterführung meines Threads / Bereinigung des PCs - Standard

Weiterführung meines Threads / Bereinigung des PCs



Der PC wurde bereits neu aufgesetzt
Öhm , das Rootkit infiziert den frisch aufgesetzten PC nicht nochmal ?

Alt 28.07.2009, 14:14   #10
myrtille
/// TB-Ausbilder
 
Weiterführung meines Threads / Bereinigung des PCs - Standard

Weiterführung meines Threads / Bereinigung des PCs



Hi,

eigentlich nicht.

Wie gesagt ich denk es war kein Rootkit. Die Einträge zur svchost.exe waren ziemlich sicher sauber und die modifizierten Sektoren können auch von Antivirenprogrammen stammen, die versuchen den MBR zu schützen.
Mit letzter Sicherheit lässt sich das jetzt allerdings nicht sagen, da wir der Sache nciht wirklich aufn Grund gegangen sind.

Die Ordner, die du gefunden hast, gehören sehr wahrscheinlich zum Windowsupdate und waren wohl eher nicht bösartig.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 29.07.2009, 12:30   #11
Cherry
 
Weiterführung meines Threads / Bereinigung des PCs - Standard

Weiterführung meines Threads / Bereinigung des PCs



Aus Fehlern lernt man
Ich wusste garnicht , das die AntiVir Free Edition auch den MBR schützen kann.
Liebe Grüße ,
Cherry.

Alt 29.07.2009, 12:54   #12
myrtille
/// TB-Ausbilder
 
Weiterführung meines Threads / Bereinigung des PCs - Standard

Weiterführung meines Threads / Bereinigung des PCs



Hi,

so genau wissen was das Programm tut weiß ich natürlich auch nicht, ich dachte allerdings es wäre ne kostenpflichtige Version, da Spyware erkannt wurde.

Allerdings scheint Avira die Erkennungen für Spy- und Adware mittlerweile auch in die kostenlose Version intergriert zu haben: Vergleichsliste.
Wieder was dazu gelernt.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Antwort

Themen zu Weiterführung meines Threads / Bereinigung des PCs
adware, antivir, antivir guard, antivirus, antvir, artemis, ask toolbar, avira, bho, desktop, dsl, einstellungen, firefox, focus, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, oledlg.dll, poweriso, programm, rootkit, rundll, saver, scan, software, stick, svchost.exe, system, usb, virus, windows xp



Ähnliche Themen: Weiterführung meines Threads / Bereinigung des PCs


  1. Bereinigung meines Rechners. Ständiges hängebleiben, Meldungen und Bluescreens
    Plagegeister aller Art und deren Bekämpfung - 28.09.2014 (15)
  2. CPU bei BF 4 seit kurzen ab und zu auf 100% aber nur 50% Auslastung an Threads
    Plagegeister aller Art und deren Bekämpfung - 09.09.2014 (3)
  3. Weiterführung meines alten Thema: "Trojaner oder Systemfehler"
    Mülltonne - 18.08.2013 (1)
  4. Niemand beachtet meine Threads
    Lob, Kritik und Wünsche - 25.06.2012 (4)
  5. Habe den Trojaner ukash bundeskriminalamt: weiterführung zu vorherigem Thread
    Log-Analyse und Auswertung - 18.12.2011 (1)
  6. ukash bundeskriminalamt weiterführung zu vorherigem Thread
    Log-Analyse und Auswertung - 15.07.2011 (9)
  7. Darstellung einea Threads
    Diskussionsforum - 11.07.2010 (2)
  8. Die ältesten Threads des Boardes
    Lob, Kritik und Wünsche - 24.05.2010 (10)
  9. Geschlossene Threads f-secure.de von Xpand21 (PR-Agentur)
    Lob, Kritik und Wünsche - 02.12.2009 (14)
  10. Weiterführung "Nach dem Befall"
    Überwachung, Datenschutz und Spam - 29.09.2007 (16)
  11. threads bewerten
    Lob, Kritik und Wünsche - 17.07.2003 (4)

Zum Thema Weiterführung meines Threads / Bereinigung des PCs - Link zu meinem alten Thread: http://www.trojaner-board.de/75714-m...tml#post451666 Also...Ich bin eine Art "Schülerin" auf dem TB. Habe auch von vielen Unterstützung bekommen. Und wie Gott es sah: In meinen Kreisen infizierte sich - Weiterführung meines Threads / Bereinigung des PCs...
Archiv
Du betrachtest: Weiterführung meines Threads / Bereinigung des PCs auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.