Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: mit Trojaner Alureon infiziert

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.09.2009, 01:02   #1
AshtonMcFish
 
mit Trojaner Alureon infiziert - Standard

mit Trojaner Alureon infiziert



Hallo an alle,

ich hab da ein großes problem. es scheint als hätt ich mich gestern bzw. vorgestern beim surfen mit dem trojaner alureon infiziert.

es ist so passiert, dass gestern beim surfen plötzlich ein blauer bildschirm aufgetaucht ist und das system zwangsneugestartet wurde. daraufhin wurde ich nach dem neustart- da ich in einem studentenwohnheim wohne was auf ein sog. leibniz rechenzentrum zugreift - vom system benachrichtigt dass ich zu viele spam und virenmails verschicken würde, was aufgrund des zugriffs auf das leibniz rechenzentrums zu einer temporären sperre des internets führt. anschließend habe ich adaware, spybot s&d drüberlaufen lassen und einige sachen gelöscht, woraufhin das problem gelöst war... vorübergehend.

beim weiteren neustart meldete mein avira antivir, dass sich auf meinem laptop ein trojaner namens 'TR/Alureon.19968U' befinden würde. allerdings lässt sich der trojaner weder löschen, noch in quarantäne stellen, oder sonstiges, da nach jeder aktion sofort das fenster mit dem fund des trojaners neu erscheint. desweiteren zeigt antivir, dass der trojaner in einer dll datei im windows/system 32 ordner gefunden sei, welcher aber im explorer und in der registry nicht auszumachen ist.

was ist jetzt in dem fall zu tun? was macht der trojaner und kann er auch notfalls manuell entfernt werden? ich weiß dass Neuaufsetzen möglich wäre aber da dies mit enormen zeitaufwand für mich verbunden wäre, würde ich das lieber im absoluten notfall erst machen. ein wichtiges problem ist nun, dass der computer MERKLICH langsamer läuft. selbst ne internetseite wie google zu laden dauert fast 20sec, auch alles andere läuft merklich langsamer und firefox funktioniert überhaupt nicht mehr. antivirus programm und spyware programm laufen auch auf sparflamme, lass gerade antivir nochmal durchgehen und es sind schon 2h vergangen, allerdings sind gerade mal 20% gescannt...

hier noch mein HijackThis logfile:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:57:14, on 03.09.2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16890)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Program Files\TOSHIBA\Toshiba Online Product Information\TOPI.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\Samsung\PanelMgr\SSMMgr.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Program Files\Sophos\AutoUpdate\ALMon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\conime.exe
C:\Program Files\SRWare Iron\iron.exe
C:\Program Files\SRWare Iron\iron.exe
C:\Program Files\SRWare Iron\iron.exe
C:\Program Files\SRWare Iron\iron.exe
C:\Program Files\SRWare Iron\iron.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\SRWare Iron\iron.exe
C:\Windows\explorer.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: WebThunderBHO - {00000AAA-A363-466E-BEF5-9BB68697AA7F} - C:\Program Files\Thunder Network\WebThunder\WebThunderBHO_Now.dll
O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - C:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Sophos Web Content Scanner - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - C:\Program Files\Sophos\Sophos Anti-Virus\SophosBHO.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [Desktop SMS] C:\Program Files\IDM\Desktop SMS\DesktopSMS.exe /auto
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WebThunder] C:\Program Files\Thunder Network\WebThunder\WebThunder.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Thunder] "C:\Program Files\Thunder Network\Thunder\Thunder.exe" /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\Windows\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Users\Qing\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [mmplayer.exe] C:\Users\Qing\AppData\Roaming\Adobe\mmplayer.exe
O4 - HKCU\..\Run: [ICQ] "C:\Zusatz_Z\Qing\Programme\ICQ 6\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Download Using &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O8 - Extra context menu item: ʹÓÃWEBѸÀ×ÏÂÔØ - C:\Program Files\Thunder Network\WebThunder\GetUrl.htm
O8 - Extra context menu item: ʹÓÃWEBѸÀ×ÏÂÔØÈ«²¿Á´½Ó - C:\Program Files\Thunder Network\WebThunder\GetAllUrl.htm
O8 - Extra context menu item: ʹÓÃѸÀ×ÏÂÔØ - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: ʹÓÃѸÀ×ÏÂÔØÈ«²¿Á´½Ó - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O9 - Extra button: Æô¶¯Ñ¸À×5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra 'Tools' menuitem: Æô¶¯Ñ¸À×5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra button: eBay - Der weltweite Online Marktplatz - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/707-44556-9400-3/4 (file missing)
O9 - Extra button: Amazon.de - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.de/exec/obidos/redirect-home?tag=Toshibadebholink-21&site=home (file missing)
O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Program Files\PPLive\PPLive.exe
O9 - Extra 'Tools' menuitem: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Program Files\PPLive\PPLive.exe
O9 - Extra button: Æô¶¯WEBѸÀ× - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)
O9 - Extra 'Tools' menuitem: Æô¶¯WEBѸÀ× - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url_de.pl?http://www.ebay.de/ (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Zusatz_Z\Qing\Programme\ICQ 6\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Zusatz_Z\Qing\Programme\ICQ 6\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216927454
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = olydorf.swh.mhn.de
O17 - HKLM\Software\..\Telephony: DomainName = olydorf.swh.mhn.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0DACA61-45DF-496A-93A2-362873DBB8BA}: NameServer = 10.150.128.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = olydorf.swh.mhn.de
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = olydorf.swh.mhn.de
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: Anwendungserfahrung AeLookupSvcAgereModemAudio (AeLookupSvcAgereModemAudio) - Unknown owner - C:\Windows\TEMP\khcdrpjgep.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 16119 bytes


vielen dank für die hilfe im voraus. freu mich auf ne antwort.

Alt 03.09.2009, 07:09   #2
Chris4You
 
mit Trojaner Alureon infiziert - Standard

mit Trojaner Alureon infiziert



Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\Windows\TEMP\khcdrpjgep.exe
C:\Users\Qing\AppData\Roaming\Adobe\mmplayer.exe
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Ich nehme an, Du kennst das hier?:
O9 - Extra button: Æô¶¯WEBѸÀ× - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)
O9 - Extra 'Tools' menuitem: Æô¶¯WEBѸÀ× - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)

Also, falls beide Files eindeutig erkannt wurden hier mit Avenger und HJ weiter machen:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Files to delete:
C:\Windows\TEMP\khcdrpjgep.exe
C:\Users\Qing\AppData\Roaming\Adobe\mmplayer.exe
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
ATTFilter
O4 - HKCU\..\Run: [mmplayer.exe] C:\Users\Qing\AppData\Roaming\Adobe\mmplayer.exe
         
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.

* Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Chris
__________________

__________________

Alt 03.09.2009, 13:47   #3
AshtonMcFish
 
mit Trojaner Alureon infiziert - Standard

mit Trojaner Alureon infiziert



so erstmal vielen dank für die hilfe, es hat sich jedoch einiges über nacht ergeben.

ich habe jetzt über nacht antivir und malwarebytes Anti-Malware laufen lassen, malwarebytes hat den trojaner auch gefunden und auch entfernt. daraufhin hab ich nachdem neustart noch adaware, spybot s&d durchlaufen lassen und es schien als wär das problem behoben. antivir hat den trojaner daraufhin auch nicht mehr gefunden und es scheint so, als wär der trojaner nun endgültig entfernt (?)

allerdings gibt es ein neues problem. nämlich schon wieder das problem, dass ich vom leibniz rechenzentrum immer gesperrt werde aufgrund von "verschickens von zu vielen spam-/virenmails", also schon wieder das gleiche wie gestern abend, bevor das alureon problem auftrat. nun hab ich adaware, spybot, malwarebytes, und cccleaner wieder durchlaufen lassen, er hat auch einige sachen gefunden. anschließend habe ich noch den trojan remover durchlaufen lassen und er hat auch einige dll dateien entfernt.
mein computer läuft auch wieder in alter geschwindigkeit, alles perfekt. nur das problem mit der internetsperre gibt es immer noch, d.h. ich habe vllt. gerade mal eine minute zugang zum internet bis ich wegen verschickens von zu vielen spammails gesperrt werde.

was soll ich jetzt tun? worum handelt es sich? sämtliche verfügbare anti-malware-spyware programme hab ich schon mehrmals durchlaufen lassen und er findet nichts mehr. soll ich trotzdem das von dir empfohlene vorgehen einmal durchgehen, obwohl der trojaner alureon (vermutlich) entfernt worden ist? . soll ich nochmal ein hijack logfile posten?

vielen dank im voraus
__________________

Alt 03.09.2009, 14:26   #4
Chris4You
 
mit Trojaner Alureon infiziert - Standard

mit Trojaner Alureon infiziert



Hi,

wir weichen davon ab und machen erstmal ein scan mit combofix...
Da nichts gefunden wird, der Rechner aber weiter "spammed", liegt der Verdacht auf ein Rootkit nahe...
Den könnte auch GMER finden, hatte aber heute einen Fall wo nichts angezeigt wurde, dafür aber
Combofix (und auch gleich die Axt geschwungen hat -> eleminiert)...

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 03.09.2009, 16:02   #5
AshtonMcFish
 
mit Trojaner Alureon infiziert - Standard

mit Trojaner Alureon infiziert



so hab jetzt mit combofix den scan gemacht, leider war das problem dass das internet danach deaktiviert war, und ich somit nen 2.scan gemacht hab da ich dummerweise dachte dass ich vllt. ne option übersehen hätte, die das internet reaktivieren würde. jetzt hab ich leider nur das logfile des 2.scans, vllt hilft sie trotzdem

ComboFix 09-09-02.02 - Qing 03.09.2009 16:19.2.2 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.49.1031.18.2038.1082 [GMT 2:00]
ausgeführt von:: c:\users\Qing\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2009-08-03 bis 2009-09-03 ))))))))))))))))))))))))))))))
.

2009-09-03 14:28 . 2009-09-03 14:28 -------- d-----w- c:\users\Qing\AppData\Local\temp
2009-09-03 14:28 . 2009-09-03 14:28 -------- d-----w- c:\users\Public\AppData\Local\temp
2009-09-03 14:28 . 2009-09-03 14:28 -------- d-----w- c:\users\Jingxin\AppData\Local\temp
2009-09-03 14:28 . 2009-09-03 14:28 -------- d-----w- c:\users\Jingrong\AppData\Local\temp
2009-09-03 14:28 . 2009-09-03 14:28 -------- d-----w- c:\users\Default\AppData\Local\temp
2009-09-03 12:19 . 2009-09-03 12:20 -------- d-----w- C:\!KillBox
2009-09-03 11:51 . 2006-06-19 11:01 69632 ----a-w- c:\windows\system32\ztvcabinet.dll
2009-09-03 11:51 . 2006-05-25 13:52 162304 ----a-w- c:\windows\system32\ztvunrar36.dll
2009-09-03 11:51 . 2005-08-25 23:50 77312 ----a-w- c:\windows\system32\ztvunace26.dll
2009-09-03 11:51 . 2003-02-02 18:06 153088 ----a-w- c:\windows\system32\UNRAR3.dll
2009-09-03 11:51 . 2002-03-05 23:00 75264 ----a-w- c:\windows\system32\unacev2.dll
2009-09-03 11:51 . 2009-09-03 11:51 -------- d-----w- c:\program files\Trojan Remover
2009-09-03 11:51 . 2009-09-03 11:51 -------- d-----w- c:\users\Qing\AppData\Roaming\Simply Super Software
2009-09-03 11:51 . 2009-09-03 11:51 -------- d-----w- c:\programdata\Simply Super Software
2009-09-03 11:49 . 2009-09-03 11:49 -------- d-----w- c:\program files\CCleaner
2009-09-03 10:59 . 2009-09-03 10:59 -------- d-----w- c:\users\Jingrong\AppData\Roaming\HP
2009-09-02 23:22 . 2009-09-02 23:22 -------- d-----w- c:\program files\Trend Micro
2009-09-02 23:01 . 2009-09-02 23:01 -------- d-----w- c:\users\Qing\AppData\Roaming\Malwarebytes
2009-09-02 22:59 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-02 22:59 . 2009-09-02 22:59 -------- d-----w- c:\programdata\Malwarebytes
2009-09-02 22:59 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-02 22:59 . 2009-09-02 23:01 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-09-02 19:34 . 2009-09-03 13:19 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-09-02 19:34 . 2009-09-03 13:04 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2009-09-02 17:56 . 2009-09-03 13:04 -------- dc----w- c:\windows\system32\DRVSTORE
2009-09-02 17:55 . 2009-09-03 13:04 -------- d-----w- c:\programdata\Lavasoft
2009-09-02 16:51 . 2009-09-02 16:51 -------- d-----w- c:\users\Qing\AppData\Local\Sophos
2009-09-02 16:45 . 2009-09-03 11:36 -------- d-----w- c:\programdata\Sophos
2009-08-27 17:20 . 2009-08-27 17:20 -------- d-----w- c:\program files\Pcsx2
2009-08-27 01:01 . 2009-06-22 08:44 2048 ----a-w- c:\windows\system32\tzres.dll
2009-08-27 00:06 . 2009-08-29 15:57 -------- d-sh--w- c:\users\Qing\AppData\Roaming\lowsec
2009-08-26 20:17 . 2009-06-05 12:30 1686016 ----a-w- c:\windows\system32\gameux.dll
2009-08-26 20:17 . 2009-06-05 12:28 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
2009-08-26 20:17 . 2009-06-05 08:44 4247552 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll
2009-08-13 10:00 . 2009-06-15 15:25 216576 ----a-w- c:\windows\system32\msv1_0.dll
2009-08-13 10:00 . 2009-06-15 15:23 494592 ----a-w- c:\windows\system32\kerberos.dll
2009-08-13 10:00 . 2009-06-15 15:29 175104 ----a-w- c:\windows\system32\wdigest.dll
2009-08-13 10:00 . 2009-06-15 18:12 408136 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2009-08-13 10:00 . 2009-06-15 15:28 272384 ----a-w- c:\windows\system32\schannel.dll
2009-08-13 10:00 . 2009-06-15 15:23 1233920 ----a-w- c:\windows\system32\lsasrv.dll
2009-08-13 10:00 . 2009-06-15 15:28 72704 ----a-w- c:\windows\system32\secur32.dll
2009-08-13 10:00 . 2009-06-15 13:10 7680 ----a-w- c:\windows\system32\lsass.exe
2009-08-12 09:42 . 2009-07-14 13:01 4096 ----a-w- c:\windows\system32\dxmasf.dll
2009-08-12 09:42 . 2009-07-14 11:11 8147968 ----a-w- c:\windows\system32\wmploc.DLL
2009-08-08 14:29 . 2009-08-08 14:29 -------- d-----w- c:\users\Qing\AppData\Roaming\Ubisoft
2009-08-08 14:22 . 2005-05-26 13:34 2297552 ----a-w- c:\windows\system32\d3dx9_26.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-03 11:45 . 2007-12-23 09:52 -------- d-----w- c:\program files\BitSpirit
2009-09-03 11:45 . 2007-12-23 10:06 -------- d-----w- c:\program files\Azureus
2009-09-03 11:44 . 2007-04-16 06:35 -------- d-----w- c:\program files\MAGIX
2009-09-03 11:40 . 2008-09-21 19:00 -------- d-----w- c:\program files\VstPlugins
2009-09-03 11:37 . 2008-09-21 18:57 -------- d-----w- c:\program files\Image-Line
2009-09-03 11:36 . 2008-08-01 12:13 -------- d-----w- c:\users\Qing\AppData\Roaming\Eltima Software
2009-09-03 11:33 . 2007-04-16 05:18 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-09-03 10:58 . 2008-01-27 19:40 85824 ----a-w- c:\users\Jingrong\AppData\Local\GDIPFONTCACHEV1.DAT
2009-08-29 19:01 . 2009-06-02 16:58 -------- d-----w- c:\users\Qing\AppData\Roaming\FrostWire
2009-08-13 01:05 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-08-11 08:02 . 2009-05-29 03:29 680 ----a-w- c:\users\Qing\AppData\Local\d3d9caps.dat
2009-08-09 20:06 . 2007-12-23 09:52 -------- d-----w- c:\programdata\Thunder Network
2009-08-09 20:01 . 2009-01-06 01:37 -------- d-----w- c:\program files\Microsoft Silverlight
2009-08-08 14:23 . 2009-08-08 14:23 -------- d-----w- c:\programdata\Ubisoft
2009-08-03 15:07 . 2008-10-24 16:02 -------- d-----w- c:\users\Qing\AppData\Roaming\Image Zone Express
2009-08-02 21:30 . 2006-11-02 15:33 641344 ----a-w- c:\windows\system32\perfh007.dat
2009-08-02 21:30 . 2006-11-02 15:33 116706 ----a-w- c:\windows\system32\perfc007.dat
2009-07-27 13:56 . 2009-04-28 21:38 1624 ----a-w- c:\users\Qing\AppData\Roaming\wklnhst.dat
2009-07-26 21:55 . 2009-05-24 22:07 -------- d-----w- c:\users\Qing\AppData\Roaming\Tinn-R
2009-07-18 12:17 . 2009-07-28 22:52 827392 ----a-w- c:\windows\system32\wininet.dll
2009-07-18 12:10 . 2009-07-28 22:52 56320 ----a-w- c:\windows\system32\iesetup.dll
2009-07-18 12:10 . 2009-07-28 22:52 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-07-18 12:07 . 2009-07-28 22:52 72704 ----a-w- c:\windows\system32\admparse.dll
2009-07-18 10:00 . 2009-07-28 22:52 26624 ----a-w- c:\windows\system32\ieUnatt.exe
2009-07-18 08:34 . 2009-07-28 22:52 48128 ----a-w- c:\windows\system32\mshtmler.dll
2009-07-17 14:52 . 2009-08-12 09:43 71680 ----a-w- c:\windows\system32\atl.dll
2009-07-17 10:42 . 2009-07-17 10:42 -------- d-----w- c:\program files\Samsung
2009-07-14 13:02 . 2009-08-12 09:43 313344 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-14 13:00 . 2009-08-12 09:43 7680 ----a-w- c:\windows\system32\spwmp.dll
2009-07-11 13:20 . 2009-07-11 13:20 -------- d-----w- c:\program files\Common Files\Deterministic Networks
2009-07-11 13:20 . 2009-07-11 13:20 -------- d-----w- c:\program files\Cisco Systems
2009-06-16 08:54 . 2008-10-24 15:20 147910 ----a-w- c:\windows\hpoins12.dat
2009-06-15 15:29 . 2009-07-15 13:56 156160 ----a-w- c:\windows\system32\t2embed.dll
2009-06-15 15:23 . 2009-07-15 13:56 24064 ----a-w- c:\windows\system32\lpk.dll
2009-06-15 15:22 . 2009-07-15 13:56 72704 ----a-w- c:\windows\system32\fontsub.dll
2009-06-15 15:21 . 2009-07-15 13:56 10240 ----a-w- c:\windows\system32\dciman32.dll
2009-06-15 15:20 . 2009-07-15 13:56 34304 ----a-w- c:\windows\system32\atmlib.dll
2009-06-15 13:03 . 2009-07-15 13:56 289792 ----a-w- c:\windows\system32\atmfd.dll
2009-06-10 12:16 . 2009-08-12 09:43 156160 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-10 12:10 . 2009-08-12 09:43 31232 ----a-w- c:\windows\system32\msvidc32.dll
2009-06-10 12:10 . 2009-08-12 09:43 123904 ----a-w- c:\windows\system32\msvfw32.dll
2009-06-10 12:09 . 2009-08-12 09:43 12800 ----a-w- c:\windows\system32\msrle32.dll
2009-06-10 12:07 . 2009-08-12 09:43 82944 ----a-w- c:\windows\system32\mciavi32.dll
2009-06-10 12:04 . 2009-08-12 09:43 88576 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 12:04 . 2009-08-12 09:43 65024 ----a-w- c:\windows\system32\avicap32.dll
2007-12-21 06:56 . 2008-08-05 15:27 36864 ----a-w- c:\program files\mozilla firefox\components\NsThunderLoader.dll
2009-05-04 11:14 . 2008-08-05 15:27 53248 ----a-w- c:\program files\mozilla firefox\components\ThunderComponent.dll
2009-04-07 00:29 . 2009-04-07 00:29 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-04-07 00:29 . 2009-04-07 00:29 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-09-03_13.59.10 )))))))))))))))))))))))))))))))))))))))))


+ 2007-04-16 05:35 . 2009-09-03 14:10 65140 c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
- 2007-04-16 05:35 . 2009-09-03 13:47 65140 c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2007-12-09 14:06 . 2009-09-03 14:10 12366 c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-726350170-3396818470-1967876311-1000_UserData.bin
- 2007-12-09 14:06 . 2009-09-03 13:47 12366 c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-726350170-3396818470-1967876311-1000_UserData.bin
- 2007-12-09 13:50 . 2009-09-03 13:48 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2007-12-09 13:50 . 2009-09-03 14:18 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2007-12-09 13:50 . 2009-09-03 14:18 49152 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2007-12-09 13:50 . 2009-09-03 13:48 49152 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2007-12-09 13:50 . 2009-09-03 14:18 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2007-12-09 13:50 . 2009-09-03 13:48 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-09-03 14:13 . 2009-09-03 14:13 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-09-03 14:13 . 2009-09-03 14:13 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-09-03 14:13 . 2009-09-03 14:13 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2006-11-02 10:25 . 2009-09-03 14:14 86016 c:\windows\inf\infpub.dat
- 2006-11-02 10:25 . 2009-09-03 10:58 86016 c:\windows\inf\infpub.dat
- 2009-09-03 13:44 . 2009-09-03 13:44 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2009-09-03 14:08 . 2009-09-03 14:08 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2009-09-03 14:08 . 2009-09-03 14:08 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2009-09-03 13:44 . 2009-09-03 13:44 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2006-11-02 13:05 . 2009-09-03 14:10 136962 c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
- 2009-08-10 18:33 . 2009-09-03 13:43 941096 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat
+ 2009-08-10 18:33 . 2009-09-03 14:07 941096 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat
+ 2006-11-02 10:25 . 2009-09-03 14:14 143360 c:\windows\inf\infstrng.dat
- 2006-11-02 10:25 . 2009-09-03 10:58 143360 c:\windows\inf\infstrng.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]
"WindowsWelcomeCenter"="oobefldr.dll" - c:\windows\System32\oobefldr.dll [2006-11-02 2159104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2007-07-12 1006264]
"KeNotify"="c:\program files\TOSHIBA\Utilities\KeNotify.exe" [2006-11-06 34352]
"SVPWUTIL"="c:\program files\TOSHIBA\Utilities\SVPWUTIL.exe" [2006-03-22 438272]
"TPwrMain"="c:\program files\TOSHIBA\Power Saver\TPwrMain.EXE" [2007-03-29 411192]
"HSON"="c:\program files\TOSHIBA\TBS\HSON.exe" [2006-12-07 55416]
"SmoothView"="c:\program files\Toshiba\SmoothView\SmoothView.exe" [2007-04-03 509496]
"00TCrdMain"="c:\program files\TOSHIBA\FlashCards\TCrdMain.exe" [2007-05-22 538744]
"topi"="c:\program files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-07-10 581632]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-20 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-20 154136]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-20 129560]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2006-09-11 180224]
"Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaRegistration.exe" [2007-02-19 571024]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 174872]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-22 266497]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-06-20 1316136]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2008-09-03 536576]
"TrojanScanner"="c:\program files\Trojan Remover\Trjscan.exe" [2009-08-04 1068424]
"MSConfig"="c:\windows\system32\msconfig.exe" [2006-11-02 222208]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2007-09-03 4702208]
"Skytel"="Skytel.exe" - c:\windows\SkyTel.exe [2007-08-03 1826816]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux2"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup
.


Alt 03.09.2009, 16:04   #6
AshtonMcFish
 
mit Trojaner Alureon infiziert - Standard

mit Trojaner Alureon infiziert



2. teil



[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^VPN Client.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{117AD20C-FDB9-4473-A627-5BF244874825}c:\\zusatz_z\\qing\\programme\\icq 6\\icq6\\icq.exe"= UDP:c:\zusatz_z\qing\programme\icq 6\icq6\icq.exe:ICQ Library
"UDP Query User{3725D5CF-2840-49DD-9189-9644DD124A15}c:\\zusatz_z\\qing\\programme\\icq 6\\icq6\\icq.exe"= TCP:c:\zusatz_z\qing\programme\icq 6\icq6\icq.exe:ICQ Library
"TCP Query User{32478EB9-E78C-4213-AB0C-2854CA2683FC}c:\\zusatz_z\\qing\\programme\\bearshare lite\\bearshare.exe"= UDP:c:\zusatz_z\qing\programme\bearshare lite\bearshare.exe:BearShare
"UDP Query User{467BAD7F-CFBD-497D-B244-AE8F9AF1BBBE}c:\\zusatz_z\\qing\\programme\\bearshare lite\\bearshare.exe"= TCP:c:\zusatz_z\qing\programme\bearshare lite\bearshare.exe:BearShare
"TCP Query User{5F416F2C-3A00-47E3-B081-6F7D545507B4}c:\\program files\\internet explorer\\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{0AFEC54A-90AD-42DE-ABE5-A48E6754747D}c:\\program files\\internet explorer\\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"TCP Query User{DA51DC18-1831-4C0A-8D25-DF966D192506}c:\\program files\\mozilla firefox\\firefox.exe"= UDP:c:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{A190D373-4729-45DC-973F-D48751BB0BBC}c:\\program files\\mozilla firefox\\firefox.exe"= TCP:c:\program files\mozilla firefox\firefox.exe:Firefox
"TCP Query User{E3A74BEA-7327-41AA-B930-6CE7249E827B}c:\\program files\\bitspirit\\bitspirit.exe"= UDP:c:\program files\bitspirit\bitspirit.exe:The powerful and easy-to-use BitTorrent Client
"UDP Query User{7A3FFD1F-E491-410D-88C2-5AA5433F2C70}c:\\program files\\bitspirit\\bitspirit.exe"= TCP:c:\program files\bitspirit\bitspirit.exe:The powerful and easy-to-use BitTorrent Client
"TCP Query User{435824F8-3FCA-4D5D-9DD4-5C871BC75EAB}c:\\program files\\azureus\\azureus.exe"= UDP:c:\program files\azureus\azureus.exe:Azureus
"UDP Query User{91205AC7-7F86-4A7D-9CC4-F64AEE69FC9D}c:\\program files\\azureus\\azureus.exe"= TCP:c:\program files\azureus\azureus.exe:Azureus
"{0B2B1D8B-F7C7-4946-BF82-3E57D7E898F2}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes
"{176DAD1C-0A02-45B5-86E7-3C256A405064}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes
"TCP Query User{2DBD8E96-F202-4CE2-90AB-84FAA9C32F3E}c:\\program files\\real\\realplayer\\realplay.exe"= UDP:c:\program files\real\realplayer\realplay.exe:RealPlayer
"UDP Query User{1A266186-EAA6-4424-9231-BB1FB301E14B}c:\\program files\\real\\realplayer\\realplay.exe"= TCP:c:\program files\real\realplayer\realplay.exe:RealPlayer
"{0EB89227-60FB-4C04-813C-56724323E8B6}"= UDP:c:\program files\PPLive\PPLive.exe:PPLive
"{998DAF75-CA81-4447-962A-AEC471AE59EA}"= TCP:c:\program files\PPLive\PPLive.exe:PPLive
"{0B5DFBDF-5FFE-495F-B9CE-41EDA471B75F}"= UDP:c:\program files\Celeris\Virtual Pool 3 DL\vp3.exe:Virtual Pool 3 DL
"{C7A76AC7-0A4E-458E-8003-A12CD1D6F33D}"= TCP:c:\program files\Celeris\Virtual Pool 3 DL\vp3.exe:Virtual Pool 3 DL
"{BFBB89EA-2D9F-4557-B5C7-C5B577C733D4}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{7FFA656B-7D1B-44C3-ABE2-AA2C296BFDA6}c:\\program files\\web.de\\web.de multimessenger\\messengr.exe"= UDP:c:\program files\web.de\web.de multimessenger\messengr.exe:WEB.DE MultiMessenger
"UDP Query User{F656EBDA-B351-485D-A485-05C514C95EC6}c:\\program files\\web.de\\web.de multimessenger\\messengr.exe"= TCP:c:\program files\web.de\web.de multimessenger\messengr.exe:WEB.DE MultiMessenger
"{F76DA3B7-E7AB-45AF-BF08-F8AAA42FE80A}"= Disabled:UDP:c:\program files\Thunder Network\Thunder\Program\Thunder5.exe:Thunder
"{707F7901-905B-4656-8247-91E24F1B8210}"= Disabled:TCP:c:\program files\Thunder Network\Thunder\Program\Thunder5.exe:Thunder
"TCP Query User{F749F070-3198-4B45-9860-B41715CE95A0}e:\\qing\\return to castle wolfenstein\\wolfmp.exe"= UDP:e:\qing\return to castle wolfenstein\wolfmp.exe:WolfMP
"UDP Query User{F55C9D30-4D00-4118-8E1C-277461B7C9DB}e:\\qing\\return to castle wolfenstein\\wolfmp.exe"= TCP:e:\qing\return to castle wolfenstein\wolfmp.exe:WolfMP
"{64FA0595-534F-4A89-A75A-55C5AD70CB82}"= Disabled:UDP:c:\program files\Thunder Network\WebThunder\WebThunder.exe:WebThunder
"{7D87902C-F07E-4835-885A-EF5A263F6431}"= Disabled:TCP:c:\program files\Thunder Network\WebThunder\WebThunder.exe:WebThunder
"TCP Query User{4BC03C79-AAF5-44E1-861A-E11718AC0AD6}c:\\program files\\thunder network\\thunder\\program\\thunder5.exe"= UDP:c:\program files\thunder network\thunder\program\thunder5.exe:Thunder
"UDP Query User{E8F48583-6800-4145-889E-7C5B8EFC599C}c:\\program files\\thunder network\\thunder\\program\\thunder5.exe"= TCP:c:\program files\thunder network\thunder\program\thunder5.exe:Thunder
"TCP Query User{EAA013EF-F139-48BE-B087-2996C529F828}c:\\program files\\itunes\\itunes.exe"= UDP:c:\program files\itunes\itunes.exe:iTunes
"UDP Query User{F58FA233-DC1B-464A-83D0-FBB6110B4068}c:\\program files\\itunes\\itunes.exe"= TCP:c:\program files\itunes\itunes.exe:iTunes
"TCP Query User{D122B691-83CD-4FC7-BBFB-8DBB2A89AE50}c:\\zusatz_z\\qing\\programme\\icq 6\\icq6\\icq.exe"= UDP:c:\zusatz_z\qing\programme\icq 6\icq6\icq.exe:ICQ Library
"UDP Query User{81D512EF-7873-487A-98AD-1887521949C2}c:\\zusatz_z\\qing\\programme\\icq 6\\icq6\\icq.exe"= TCP:c:\zusatz_z\qing\programme\icq 6\icq6\icq.exe:ICQ Library
"TCP Query User{2D63305B-72BA-402C-B29C-F4CA45368909}c:\\zusatz_z\\qing\\programme\\bearshare lite\\bearshare.exe"= UDP:c:\zusatz_z\qing\programme\bearshare lite\bearshare.exe:BearShare
"UDP Query User{9B1D4BBB-AF73-40C6-A572-02981246D09F}c:\\zusatz_z\\qing\\programme\\bearshare lite\\bearshare.exe"= TCP:c:\zusatz_z\qing\programme\bearshare lite\bearshare.exe:BearShare
"{61FAC686-D478-46D6-BAC5-04C50EA96745}"= UDP:c:\program files\Sony Ericsson\Sony Ericsson Media Manager\MediaManager.exe:Sony Ericsson Media Manager 1.1
"{7CA019B7-F12D-4836-B6FF-D65AA4D21090}"= TCP:c:\program files\Sony Ericsson\Sony Ericsson Media Manager\MediaManager.exe:Sony Ericsson Media Manager 1.1
"TCP Query User{8E9A74C7-7E01-431D-AE7D-B73C663AF582}c:\\program files\\mozilla firefox\\firefox.exe"= UDP:c:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{09C0CEB6-B437-414F-A954-89AC164D6E5B}c:\\program files\\mozilla firefox\\firefox.exe"= TCP:c:\program files\mozilla firefox\firefox.exe:Firefox
"{55A23A25-271D-45F2-BEBC-6EA58471B69B}"= UDP:c:\program files\MirandaFusion\miranda32.exe:Miranda Fusion
"{520B6F2D-EDE9-4616-B3A9-ADEA6CDCAD92}"= TCP:c:\program files\MirandaFusion\miranda32.exe:Miranda Fusion
"TCP Query User{99A2F021-EB9D-4D98-9527-C7A5E3E8F662}c:\\program files\\icqlite\\icq.exe"= UDP:c:\program files\icqlite\icq.exe:ICQ Library
"UDP Query User{B6C93E3E-33BD-4972-8F3A-CC9299299DFD}c:\\program files\\icqlite\\icq.exe"= TCP:c:\program files\icqlite\icq.exe:ICQ Library
"TCP Query User{CF0FCAA1-2523-46EA-B17E-8CDE7679E903}c:\\zusatz_z\\qing\\rtcw\\return to castle wolfenstein\\wolfmp.exe"= UDP:c:\zusatz_z\qing\rtcw\return to castle wolfenstein\wolfmp.exe:WolfMP
"UDP Query User{92046676-BD54-4024-AA8C-805E0F702BC5}c:\\zusatz_z\\qing\\rtcw\\return to castle wolfenstein\\wolfmp.exe"= TCP:c:\zusatz_z\qing\rtcw\return to castle wolfenstein\wolfmp.exe:WolfMP
"TCP Query User{A966E4B6-E930-4B8E-A1A4-7E505749508D}c:\\program files\\sopcast\\adv\\sopadver.exe"= UDP:c:\program files\sopcast\adv\sopadver.exe:SopCast Adver
"UDP Query User{DFA3DA96-2D02-4332-A16E-8BFEACD1A951}c:\\program files\\sopcast\\adv\\sopadver.exe"= TCP:c:\program files\sopcast\adv\sopadver.exe:SopCast Adver
"TCP Query User{D0D64761-FA80-438B-A993-8FD59A2B86CF}c:\\program files\\sopcast\\sopcast.exe"= UDP:c:\program files\sopcast\sopcast.exe:SopCast Main Application
"UDP Query User{443FD6EE-0E32-4BE4-ABBA-91BB5024B3AA}c:\\program files\\sopcast\\sopcast.exe"= TCP:c:\program files\sopcast\sopcast.exe:SopCast Main Application
"TCP Query User{2421B110-0F44-4C0E-99CA-26B20CDA1ACB}c:\\program files\\frostwire\\frostwire.exe"= UDP:c:\program files\frostwire\frostwire.exe:FrostWire
"UDP Query User{FAFD97EC-567C-4388-8015-63AA1ACE07A7}c:\\program files\\frostwire\\frostwire.exe"= TCP:c:\program files\frostwire\frostwire.exe:FrostWire
"TCP Query User{C03F5E04-8CFC-415E-B595-A472BD731593}c:\\program files\\sopcast\\sopcast.exe"= UDP:c:\program files\sopcast\sopcast.exe:SopCast Main Application
"UDP Query User{8CC7D30D-6AF9-492D-B1A8-55C1EA773E97}c:\\program files\\sopcast\\sopcast.exe"= TCP:c:\program files\sopcast\sopcast.exe:SopCast Main Application
"TCP Query User{017DBF2F-68C9-4415-9C2B-D1D9A3FA93D6}c:\\program files\\sopcast\\adv\\sopadver.exe"= UDP:c:\program files\sopcast\adv\sopadver.exe:SopCast Adver
"UDP Query User{7E6DCEBC-3E5A-47D6-B692-31574A803584}c:\\program files\\sopcast\\adv\\sopadver.exe"= TCP:c:\program files\sopcast\adv\sopadver.exe:SopCast Adver
"TCP Query User{750CF282-D810-46EF-B039-AC6EFC5E52E3}c:\\program files\\soulseekns\\slsk.exe"= UDP:c:\program files\soulseekns\slsk.exe:SoulSeek
"UDP Query User{611456D0-7641-4035-8E7B-03C300855CD0}c:\\program files\\soulseekns\\slsk.exe"= TCP:c:\program files\soulseekns\slsk.exe:SoulSeek
"TCP Query User{B598C216-039A-4108-A324-E3A43492C74B}c:\\zusatz_z\\qing\\programme\\icq 6\\icq6.5\\icq.exe"= UDP:c:\zusatz_z\qing\programme\icq 6\icq6.5\icq.exe:ICQ
"UDP Query User{F63809B5-7B59-47F5-BA82-070AC41F56C8}c:\\zusatz_z\\qing\\programme\\icq 6\\icq6.5\\icq.exe"= TCP:c:\zusatz_z\qing\programme\icq 6\icq6.5\icq.exe:ICQ
"TCP Query User{870D6BC3-2DE8-4927-846A-2FE03C98C339}c:\\program files\\frostwire\\frostwire.exe"= UDP:c:\program files\frostwire\frostwire.exe:FrostWire
"UDP Query User{D7CC59FA-5CC5-4B45-8828-0745D8515683}c:\\program files\\frostwire\\frostwire.exe"= TCP:c:\program files\frostwire\frostwire.exe:FrostWire
"TCP Query User{7C11620D-57CF-49ED-8F08-740996DEC6D4}c:\\zusatz_z\\qing\\programme\\icq 6\\icq6.5\\icq.exe"= UDP:c:\zusatz_z\qing\programme\icq 6\icq6.5\icq.exe:ICQ
"UDP Query User{DFD6A6C5-C159-469C-971A-044311126CFE}c:\\zusatz_z\\qing\\programme\\icq 6\\icq6.5\\icq.exe"= TCP:c:\zusatz_z\qing\programme\icq 6\icq6.5\icq.exe:ICQ
"{B0C4D081-3D3E-42B2-B0A5-63D0AF2610B2}"= UDP:c:\assassins creed\AssassinsCreed_Dx9.exe:Assassin's Creed Dx9
"{0ECD9DC6-D496-46DE-9ACF-91E951402877}"= TCP:c:\assassins creed\AssassinsCreed_Dx9.exe:Assassin's Creed Dx9
"{1610D01E-ADF7-4A76-BA6A-0824D02832ED}"= UDP:c:\assassins creed\AssassinsCreed_Dx10.exe:Assassin's Creed Dx10
"{1439E47D-9258-4516-BE55-001EAEAB90FD}"= TCP:c:\assassins creed\AssassinsCreed_Dx10.exe:Assassin's Creed Dx10
"{3B17AF0D-B5F6-4E23-B61F-0D8853BEBF36}"= UDP:c:\assassins creed\AssassinsCreed_Launcher.exe:Assassin's Creed Update
"{2FBA9324-F7E7-4E2C-AE49-D6F298D4D24F}"= TCP:c:\assassins creed\AssassinsCreed_Launcher.exe:Assassin's Creed Update
"TCP Query User{AB6B2063-8832-48ED-9B2E-836788204D07}c:\\windows\\explorer.exe"= UDP:c:\windows\explorer.exe:Windows-Explorer
"UDP Query User{21165E40-07E2-4B6B-94ED-9F923DF8B7E8}c:\\windows\\explorer.exe"= TCP:c:\windows\explorer.exe:Windows-Explorer
"TCP Query User{B0F2893D-860E-4C63-97D7-4F6DA07E7A30}c:\\program files\\spyware terminator\\spywareterminatorupdate.exe"= UDP:c:\program files\spyware terminator\spywareterminatorupdate.exe:Crawler Spyware Terminator
"UDP Query User{E1B6EE17-5609-47F4-8563-9F48D782DEF4}c:\\program files\\spyware terminator\\spywareterminatorupdate.exe"= TCP:c:\program files\spyware terminator\spywareterminatorupdate.exe:Crawler Spyware Terminator

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R2 SSPORT;SSPORT;c:\windows\System32\drivers\SSPORT.SYS [17.07.2009 12:42 5120]
S2 AeLookupSvcAgereModemAudio;Anwendungserfahrung AeLookupSvcAgereModemAudio;c:\windows\TEMP\khcdrpjgep.exe service --> c:\windows\TEMP\khcdrpjgep.exe service [?]
S3 s3017bus;Sony Ericsson Device 3017 driver (WDM);c:\windows\System32\drivers\s3017bus.sys [09.11.2008 20:17 83880]
S3 s3017mdfl;Sony Ericsson Device 3017 USB WMC Modem Filter;c:\windows\System32\drivers\s3017mdfl.sys [09.11.2008 20:17 15016]
S3 s3017mdm;Sony Ericsson Device 3017 USB WMC Modem Driver;c:\windows\System32\drivers\s3017mdm.sys [09.11.2008 20:17 110632]
S3 s3017mgmt;Sony Ericsson Device 3017 USB WMC Device Management Drivers (WDM);c:\windows\System32\drivers\s3017mgmt.sys [09.11.2008 20:17 104616]
S3 s3017nd5;Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (NDIS);c:\windows\System32\drivers\s3017nd5.sys [09.11.2008 20:17 25512]
S3 s3017obex;Sony Ericsson Device 3017 USB WMC OBEX Interface;c:\windows\System32\drivers\s3017obex.sys [09.11.2008 20:17 100648]
S3 s3017unic;Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (WDM);c:\windows\System32\drivers\s3017unic.sys [09.11.2008 20:17 110120]
S4 CplIR;Embedded IR Driver;c:\windows\System32\drivers\CplIR.sys [06.03.2007 15:01 14848]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2008-07-30 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 09:20]

2009-09-03 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-726350170-3396818470-1967876311-1000Core.job
- c:\users\Qing\AppData\Local\Google\Update\GoogleUpdate.exe [2008-09-03 21:08]

2009-09-03 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-726350170-3396818470-1967876311-1000UA.job
- c:\users\Qing\AppData\Local\Google\Update\GoogleUpdate.exe [2008-09-03 21:08]

2009-09-03 c:\windows\Tasks\User_Feed_Synchronization-{63D257B4-F37B-428A-9157-FBDCE02EF201}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]

2009-09-03 c:\windows\Tasks\User_Feed_Synchronization-{E885A2DE-2881-4582-86B5-A829D53193F5}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: ??? Microsoft Excel(&x)
IE: Add to Windows &Live Favorites - Sign In
IE: ʹÓÃWEBѸÀ×ÏÂÔØ - c:\program files\Thunder Network\WebThunder\GetUrl.htm
IE: ʹÓÃWEBѸÀ×ÏÂÔØÈ«²¿Á´½Ó - c:\program files\Thunder Network\WebThunder\GetAllUrl.htm
IE: ʹÓÃѸÀ×ÏÂÔØ - c:\program files\Thunder Network\Thunder\Program\GetUrl.htm
IE: ʹÓÃѸÀ×ÏÂÔØÈ«²¿Á´½Ó - c:\program files\Thunder Network\Thunder\Program\GetAllUrl.htm
IE: ??? Microsoft Excel(&x) - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: {{09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - c:\program files\Thunder Network\Thunder\Thunder.exe
IE: {{76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/707-44556-9400-3/4
IE: {{8A918C1D-E123-4E36-B562-5C1519E434CE} - Amazon.de: Günstige Preise bei Elektronik & Foto, DVD, Musik, Bücher, Games, Spielzeug & mehr
IE: {{962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - ÍøҳѸÀ×2009
IE: {{C08CAF1D-C0A3-40D5-9970-06D067EAC017} - eBay: Neue und gebrauchte Elektronikartikel, Autos, Kleidung, Sammlerstücke, Sportartikel und mehr ? alles zu günstigen Preisen
TCP: {D0DACA61-45DF-496A-93A2-362873DBB8BA} = 10.150.128.2
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1216927454
FF - ProfilePath - c:\users\Qing\AppData\Roaming\Mozilla\Firefox\Profiles\sz98ksqg.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - hxxp://www.web.de/
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2009-09-03 16:28
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-726350170-3396818470-1967876311-1000\Software\Microsoft\Office\10.0\Common\Open Find\Microsoft PowerPoint\Settings\Sb*_\File Name MRU]
"Value"=multi:"\00\00"
"Maximum Entries"=dword:0000000a

[HKEY_USERS\S-1-5-21-726350170-3396818470-1967876311-1000\Software\Microsoft\Office\10.0\Common\Open Find\Microsoft PowerPoint\Settings\Sb*_\View]
"Data"=hex:04,16,00,17,28,14,14,14,0d,01,02,01,00,18,41,00,0d,00,fa,08,00,00,
8b,44,0d,00,fa,08,00,00,8b,44,0d,00,fa,08,00,00,8b,44,0d,00,fa,08,00,00,8b,\

[HKEY_USERS\S-1-5-21-726350170-3396818470-1967876311-1000\Software\Microsoft\Office\10.0\Common\Open Find\Microsoft Word\Settings\Sb*_\File Name MRU]
"Value"=multi:"\00\00"
"Maximum Entries"=dword:0000000a

[HKEY_USERS\S-1-5-21-726350170-3396818470-1967876311-1000\Software\Microsoft\Office\10.0\Common\Open Find\Microsoft Word\Settings\Sb*_\View]
"Data"=hex:04,16,00,47,28,14,14,14,0d,01,02,01,00,18,41,00,0d,00,fa,08,00,00,
8b,44,0d,00,fa,08,00,00,8b,44,0d,00,fa,08,00,00,8b,44,0d,00,fa,08,00,00,8b,\

[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2009-09-03 16:31
ComboFix-quarantined-files.txt 2009-09-03 14:31
ComboFix2.txt 2009-09-03 14:02

Vor Suchlauf: 15 Verzeichnis(se), 33.324.523.520 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 33.227.247.616 Bytes frei

370 --- E O F --- 2009-09-02 01:02


aber bis jetzt scheints auf jeden fall zu laufen, wurde noch nicht aus dem internet geworfen, vielen dank auf jeden fall für die große hilfe

Alt 03.09.2009, 16:16   #7
Chris4You
 
mit Trojaner Alureon infiziert - Standard

mit Trojaner Alureon infiziert



Hi,

schade das vom ersten Combofix-lauf das log nicht da ist, es wäre sehr interessant zu wisse, was für ein Server bei Dir lief...

Einige Einträge sind seltsam:
IE: ʹÓÃWEBѸÀ×ÏÂÔØ - c:\program files\Thunder Network\WebThunder\GetUrl.htm
IE: ʹÓÃWEBѸÀ×ÏÂÔØÈ«²¿Á´½Ó - c:\program files\Thunder Network\WebThunder\GetAllUrl.htm
IE: ʹÓÃѸÀ×ÏÂÔØ - c:\program files\Thunder Network\Thunder\Program\GetUrl.htm
IE: ʹÓÃѸÀ×ÏÂÔØÈ«²¿Á´½Ó - c:\program files\Thunder Network\Thunder\Program\GetAllUrl.htm
IE: ??? Microsoft Excel(&x) - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

Dann ist der Service noch eingetragen (auch wenn das Programm schon gekíllt wurde):
S2 AeLookupSvcAgereModemAudio;Anwendungserfahrung AeLookupSvcAgereModemAudio;c:\windows\TEMP\khcdrpj gep.exe service --> c:\windows\TEMP\khcdrpjgep.exe service [?]

Du hast einiges an Bittorrent-clients laufen, die sind immer für so ein Überraschung gut (ähnlich wie über icq kann sich darüber Malware verbreiten)...

Scanne mal mit Kaspersky...
Kaskpersky OnlineScanner
http://www.kaspersky.com/de/virusscanner

chris (auf dem wege nach hause)
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 03.09.2009, 19:38   #8
AshtonMcFish
 
mit Trojaner Alureon infiziert - Standard

mit Trojaner Alureon infiziert



achso klar, werd ich demnächst mal machen.

die einträge aber
IE: ʹÓÃWEBѸÀ×ÏÂÔØ - c:\program files\Thunder Network\WebThunder\GetUrl.htm
IE: ʹÓÃWEBѸÀ×ÏÂÔØÈ«²¿Á´½Ó - c:\program files\Thunder Network\WebThunder\GetAllUrl.htm
IE: ʹÓÃѸÀ×ÏÂÔØ - c:\program files\Thunder Network\Thunder\Program\GetUrl.htm
IE: ʹÓÃѸÀ×ÏÂÔØÈ«²¿Á´½Ó - c:\program files\Thunder Network\Thunder\Program\GetAllUrl.htm

sind bekannt, sind von mir installierte chinesische programme.

gruß

Alt 03.09.2009, 20:04   #9
Chris4You
 
mit Trojaner Alureon infiziert - Standard

mit Trojaner Alureon infiziert



Hi,

das hatte ich mir schon fast gedacht (sonst wären sie bereits HJ zum Opfer gefallen)... Allerdings ist mein chinesisch jetzt nicht grade der Renner, aber Foxlingo hilft ungemein )...

chris&out
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu mit Trojaner Alureon infiziert
ad-aware, agere systems, antivir, antivirus, avira, bho, bildschirm, c:\windows\temp, computer, desktop, ebay, firefox, google, gservice, hijack, hijackthis, hijackthis logfile, infiziert., internet explorer, logfile, magix, malwarebytes' anti-malware, problem gelöst, programm, registry, safer networking, saver, security, software, spyware, system, trojaner, uleadburninghelper, vista, windows\temp



Ähnliche Themen: mit Trojaner Alureon infiziert


  1. Trojaner TR/TDss.abx und TR/Alureon, Dateien weg
    Log-Analyse und Auswertung - 05.10.2012 (43)
  2. Trojan:Win32/Alureon.FL | PWS:Win32/Fareit.A | Trojan:Win32/Sirefef.P....Auch MBR infiziert?
    Plagegeister aller Art und deren Bekämpfung - 06.01.2012 (7)
  3. TR/Alureon.FL.2
    Plagegeister aller Art und deren Bekämpfung - 18.12.2011 (1)
  4. Laptop mit JAVA/Agent.FK & BOO/Alureon.A infiziert ! ! !
    Plagegeister aller Art und deren Bekämpfung - 01.04.2011 (1)
  5. Unerwünschtes Programm 'BDS/TDSS.6246458.1' [backdoor] gefunden! + Trojaner "TR/Alureon.EC.63"
    Plagegeister aller Art und deren Bekämpfung - 30.01.2011 (1)
  6. 40 Tan Trojaner DKB (Avira findet TR/Alureon.DF.3 und TR/Vundo.Gen)
    Plagegeister aller Art und deren Bekämpfung - 05.01.2011 (5)
  7. Virus Alureon.H
    Plagegeister aller Art und deren Bekämpfung - 11.09.2010 (23)
  8. Trojaner TR/Alureon.B gefunden :-((
    Plagegeister aller Art und deren Bekämpfung - 09.08.2010 (3)
  9. Trojaner TR/Alureon.B gefunden
    Log-Analyse und Auswertung - 09.08.2010 (6)
  10. viele trojaner (drooper, alureon) und umleitung über ukrainische seite, was tun?
    Log-Analyse und Auswertung - 12.03.2010 (2)
  11. Nach Trojaner Alureon HijackThis
    Log-Analyse und Auswertung - 08.01.2010 (1)
  12. Alureon Trojaner
    Log-Analyse und Auswertung - 28.12.2009 (3)
  13. Trojaner Alureon
    Log-Analyse und Auswertung - 28.12.2009 (5)
  14. Computer infiziert: Crypt.ZPACK.Gen, Vundo.Gen (3mal), Crypt.ZPACK.Gen, Alureon.CZ
    Log-Analyse und Auswertung - 25.12.2009 (11)
  15. Packed.Win32.TDSS.y Trojaner Win32/Alureon.BF
    Plagegeister aller Art und deren Bekämpfung - 08.10.2009 (3)
  16. Trojaner TR/Alureon.14848J und event. andere Problemchen :-(
    Plagegeister aller Art und deren Bekämpfung - 11.07.2009 (53)
  17. W32.Alureon!inf und Alureon.gen!J
    Antiviren-, Firewall- und andere Schutzprogramme - 17.03.2009 (14)

Zum Thema mit Trojaner Alureon infiziert - Hallo an alle, ich hab da ein großes problem. es scheint als hätt ich mich gestern bzw. vorgestern beim surfen mit dem trojaner alureon infiziert. es ist so passiert, dass - mit Trojaner Alureon infiziert...
Archiv
Du betrachtest: mit Trojaner Alureon infiziert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.