Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Spürbar Trojaner oder Virus im System !!!!!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 10.09.2009, 23:29   #1
MistaMar
 
Spürbar Trojaner oder Virus im System !!!!! - Standard

Spürbar Trojaner oder Virus im System !!!!!



Habe hier mal meine Log gepostet und hoffe ihr könnt mir helfen. Ich merke das irgendetwas nicht stimmt. Ihr seit mien letzte Hoffnung, bedanke mich schonmal im Vorraus.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:20:56, on 10.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe
C:\Programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\bootfile.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Samsung\EmoDio\SMSTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Dokumente und Einstellungen\***\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\MSI\US54SE_Utility\ZDWlan.exe
C:\Programme\Tenda\W541U V2.0\UI.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: kikin Plugin - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Programme\kikin\ie_kikin.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SMSTray] C:\Programme\Samsung\EmoDio\SMSTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Ocs_SM] C:\Dokumente und Einstellungen\132\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [svchost.exe] C:\WINDOWS\system32\bootfile.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ICQ-Tools.de Launcher.lnk = ?
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\gprs.exe
O4 - Global Startup: MSI US54SE 802.11b+g USB Stick Utility.lnk = C:\Programme\MSI\US54SE_Utility\ZDWlan.exe
O4 - Global Startup: W541U V2.0.lnk = ?
O9 - Extra button: (no name) - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll
O9 - Extra 'Tools' menuitem: My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\WINDOWS\system32\Skype4COM.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SearchAnonymizer - Unknown owner - C:\Dokumente und Einstellungen\132\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe
O23 - Service: Start BT in service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe

--
End of file - 7346 bytes

Alt 10.09.2009, 23:40   #2
john.doe
 
Spürbar Trojaner oder Virus im System !!!!! - Standard

Spürbar Trojaner oder Virus im System !!!!!



Hallo und
Zitat:
Ich merke das irgendetwas nicht stimmt.
Woran genau? Das sieht übelst nach RAT aus. Deshalb jetzt schnell reagieren.

1.) Starte HJT => Do a system scan only => Markiere:
Code:
ATTFilter
O4 - HKLM\..\Run: [svchost.exe] C:\WINDOWS\system32\bootfile.exe
         
=> Fix checked => Neustart => Neues HJT-Log posten

2.) Lade die Dateien
Code:
ATTFilter
C:\WINDOWS\system32\bootfile.exe
C:\Dokumente und Einstellungen\132\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe
         
bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.htmlMarkiere den Text in der Box, kopiere ihn und füge ihn im Uploadchannel ein.

ciao, andreas
__________________

__________________

Alt 11.09.2009, 00:11   #3
MistaMar
 
Spürbar Trojaner oder Virus im System !!!!! - Standard

Spürbar Trojaner oder Virus im System !!!!!



Erstmal Dankeschön für die schnelle Antwort.
Ich merke es daran, dass immer wenn ich einen Text eingeben möchte er immer aus der Eingabe springt und ich so wieder neu klicken muss um etwas schreiben zu können. Quasi so als wollte jemand nicht das ich was schreibe.
__________________

Alt 11.09.2009, 00:14   #4
MistaMar
 
Spürbar Trojaner oder Virus im System !!!!! - Standard

Spürbar Trojaner oder Virus im System !!!!!



Hier die neue HijackThis Log:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:06:31, on 11.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe
C:\Programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\bootfile.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Dokumente und Einstellungen\***\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\MSI\US54SE_Utility\ZDWlan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Alwil Software\Avast4\setup\avast.setup

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: kikin Plugin - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Programme\kikin\ie_kikin.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SMSTray] C:\Programme\Samsung\EmoDio\SMSTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Ocs_SM] C:\Dokumente und Einstellungen\132\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [svchost.exe] C:\WINDOWS\system32\bootfile.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ICQ-Tools.de Launcher.lnk = ?
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\gprs.exe
O4 - Global Startup: MSI US54SE 802.11b+g USB Stick Utility.lnk = C:\Programme\MSI\US54SE_Utility\ZDWlan.exe
O4 - Global Startup: W541U V2.0.lnk = ?
O9 - Extra button: (no name) - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll
O9 - Extra 'Tools' menuitem: My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\WINDOWS\system32\Skype4COM.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SearchAnonymizer - Unknown owner - C:\Dokumente und Einstellungen\132\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe
O23 - Service: Start BT in service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe

--
End of file - 7253 bytes

Alt 11.09.2009, 16:42   #5
john.doe
 
Spürbar Trojaner oder Virus im System !!!!! - Standard

Spürbar Trojaner oder Virus im System !!!!!



Die Anzeichen auf RAT verdichten sich. Die Analyse von VT:
Code:
ATTFilter
Datei bootfile.exe empfangen 2009.09.11 06:09:39 (UTC)
Status: Beendet 
Ergebnis: 3/41 (7.32%)
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.24	2009.09.11	-
AhnLab-V3	5.0.0.2	2009.09.11	-
AntiVir	7.9.1.14	2009.09.10	TR/Dropper.Gen
Antiy-AVL	2.0.3.7	2009.09.11	-
Authentium	5.1.2.4	2009.09.11	-
Avast	4.8.1351.0	2009.09.10	-
AVG	8.5.0.412	2009.09.10	-
BitDefender	7.2	2009.09.11	-
CAT-QuickHeal	10.00	2009.09.11	-
ClamAV	0.94.1	2009.09.11	-
Comodo	2279	2009.09.11	-
DrWeb	5.0.0.12182	2009.09.10	-
eSafe	7.0.17.0	2009.09.10	-
eTrust-Vet	31.6.6731	2009.09.11	-
F-Prot	4.5.1.85	2009.09.10	-
F-Secure	8.0.14470.0	2009.09.11	-
Fortinet	3.120.0.0	2009.09.11	-
GData	19	2009.09.11	-
Ikarus	T3.1.1.72.0	2009.09.11	-
Jiangmin	11.0.800	2009.09.11	-
K7AntiVirus	7.10.841	2009.09.10	-
Kaspersky	7.0.0.125	2009.09.11	-
McAfee	5737	2009.09.10	-
McAfee+Artemis	5737	2009.09.10	-
McAfee-GW-Edition	6.8.5	2009.09.11	Trojan.Dropper.Gen
Microsoft	1.5005	2009.09.11	VirTool:Win32/VBInject.gen!BJ
NOD32	4415	2009.09.10	-
Norman	6.01.09	2009.09.10	-
nProtect	2009.1.8.0	2009.09.10	-
Panda	10.0.2.2	2009.09.10	-
PCTools	4.4.2.0	2009.09.10	-
Prevx	3.0	2009.09.11	-
Rising	21.46.40.00	2009.09.11	-
Sophos	4.45.0	2009.09.11	-
Sunbelt	3.2.1858.2	2009.09.11	-
Symantec	1.4.4.12	2009.09.11	-
TheHacker	6.3.4.4.400	2009.09.10	-
TrendMicro	8.950.0.1094	2009.09.11	-
VBA32	3.12.10.10	2009.09.11	-
ViRobot	2009.9.11.1929	2009.09.11	-
VirusBuster	4.6.5.0	2009.09.10	-
weitere Informationen
File size: 131072 bytes
MD5   : 72691c53cf9a0610d8eaa751a7ded301
SHA1  : 841637128e26b31c6170ef035bf98d7d10dd2e98
SHA256: e04885113e9fdbee9e31351b7be009a9943893b8870884a09be3e2c62ceba693
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6B38
timedatestamp.....: 0x4A1AACF6 (Mon May 25 16:36:38 2009)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x19064 0x1A000 5.53 96d9a20d40a2d3ecca55ac02eba356cb
.data 0x1B000 0xB04 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x1C000 0x3A70 0x4000 6.94 a37c8bca165a5f6c2f993b58666ab3b3

( 1 imports )

> msvbvm60.dll: __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaVarVargNofree, __vbaFreeVar, __vbaAryMove, __vbaStrVarMove, __vbaLenBstr, __vbaFreeVarList, __vbaEnd, __vbaPut3, _adj_fdiv_m64, __vbaFreeObjList, -, _adj_fprem1, __vbaRecAnsiToUni, __vbaStrCat, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaAryVar, -, __vbaAryDestruct, __vbaExitProc, -, -, __vbaOnError, -, _adj_fdiv_m16i, _adj_fdivr_m16i, -, __vbaBoolVarNull, _CIsin, __vbaErase, -, __vbaVarZero, __vbaChkstk, __vbaFileClose, EVENT_SINK_AddRef, __vbaGenerateBoundsError, -, __vbaStrCmp, __vbaPutOwner3, __vbaAryConstruct2, __vbaVarTstEq, __vbaI2I4, DllFunctionCall, _adj_fpatan, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, -, __vbaUI1I2, _CIsqrt, __vbaVarAnd, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, __vbaPrintFile, __vbaStrToUnicode, -, _adj_fprem, _adj_fdivr_m64, __vbaI2Str, -, __vbaFPException, -, __vbaStrVarVal, __vbaUbound, __vbaVarCat, -, -, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, -, __vbaVar2Vec, __vbaNew2, __vbaInStr, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, __vbaFreeStrList, -, _adj_fdivr_m32, _adj_fdiv_r, -, -, __vbaVarCmpEq, __vbaAryLock, __vbaVarDup, __vbaStrToAnsi, -, __vbaFpI4, __vbaVarCopy, __vbaR8IntI2, -, _CIatan, __vbaStrMove, __vbaAryCopy, __vbaStrVarCopy, _allmul, _CItan, __vbaAryUnlock, _CIexp, __vbaFreeStr, __vbaI4ErrVar, __vbaFreeObj, -, -

( 0 exports )
ssdeep: 3072:uM3OF3mgCN4k8DRkskaaom2x4fY3pNQfF8y/dO6oMc/Ohi:Ys338DRkskaaom2xtp/
PEiD  : -
RDS   : NSRL Reference Data Set
-
         
Die von Anubis. Rolle bis ans Ende und klicke auf das Plus vor DNS Queries. Du findest:
Zitat:
andreeele.no-ip.biz
Das ist eindeutig. Es gibt nur eine Lösung, die sicher ist => http://www.trojaner-board.de/51262-a...sicherung.html

Falls du lieber bereinigen möchtest, dann:

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
ciao, andreas

__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 11.09.2009, 18:56   #6
MistaMar
 
Spürbar Trojaner oder Virus im System !!!!! - Standard

Spürbar Trojaner oder Virus im System !!!!!



ComboFix 09-09-10.03 - 132 11.09.2009 18:41.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2047.1542 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\132\Eigene Dateien\Downloads\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090910-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\be55f7.msi
c:\windows\system32\muzapp.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-11 bis 2009-09-11 ))))))))))))))))))))))))))))))
.

2009-09-10 21:14 . 2009-09-10 21:14 -------- d-----w- c:\programme\Trend Micro
2009-09-03 20:33 . 2009-09-03 20:33 -------- d-----w- c:\programme\Easy MP3 Cutter
2009-09-01 19:39 . 2009-09-01 19:39 131072 ----a-w- c:\windows\system32\bootfile.exe
2009-08-31 19:50 . 2009-08-31 19:50 21419 ----a-w- c:\windows\system32\drivers\AegisP.sys
2009-08-31 19:50 . 2008-08-28 14:52 627072 ----a-w- c:\windows\system32\drivers\rt2870.sys
2009-08-31 19:50 . 2008-08-28 14:38 221184 ----a-w- c:\windows\system32\RaCoInst.dll
2009-08-31 19:50 . 2008-08-28 14:38 15312 ----a-w- c:\windows\system32\RaCoInst.dat
2009-08-31 19:50 . 2009-08-31 19:50 -------- d-----w- c:\programme\Tenda
2009-08-31 19:50 . 2009-08-31 19:50 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\InstallShield
2009-08-29 05:50 . 2009-08-29 05:50 -------- d--h--w- c:\windows\PIF
2009-08-28 21:21 . 2009-08-28 21:21 -------- d-----w- c:\programme\Universe
2009-08-28 21:20 . 2009-08-28 21:20 -------- d-----w- c:\programme\PhotonFX
2009-08-28 21:20 . 2009-08-28 21:20 -------- d-----w- c:\programme\TW2
2009-08-28 18:15 . 2009-08-28 18:15 -------- d-----w- c:\dokumente und einstellungen\132\Lokale Einstellungen\Anwendungsdaten\id Software
2009-08-28 18:13 . 2009-03-09 13:27 453456 ----a-w- c:\windows\system32\d3dx10_41.dll
2009-08-28 18:13 . 2009-03-09 13:27 1846632 ----a-w- c:\windows\system32\D3DCompiler_41.dll
2009-08-28 18:13 . 2009-03-16 12:18 69448 ----a-w- c:\windows\system32\XAPOFX1_3.dll
2009-08-28 18:13 . 2009-03-16 12:18 517448 ----a-w- c:\windows\system32\XAudio2_4.dll
2009-08-28 18:13 . 2009-03-09 13:27 4178264 ----a-w- c:\windows\system32\D3DX9_41.dll
2009-08-28 18:13 . 2009-03-16 12:18 235352 ----a-w- c:\windows\system32\xactengine3_4.dll
2009-08-28 18:13 . 2009-03-16 12:18 22360 ----a-w- c:\windows\system32\X3DAudio1_6.dll
2009-08-28 18:01 . 2009-08-28 18:01 -------- d-sh--w- c:\windows\ftpcache
2009-08-21 13:34 . 2009-08-21 13:34 -------- d-----w- c:\programme\ICQ-Tools.de
2009-08-21 13:34 . 2009-08-21 13:34 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\ICQ-Tools.de
2009-08-17 21:39 . 2009-08-17 21:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Bluetooth
2009-08-17 21:38 . 2009-08-17 21:38 -------- d-----w- c:\programme\IVT Corporation
2009-08-16 02:50 . 2009-08-16 02:50 -------- d-----w- c:\windows\Sun
2009-08-16 02:48 . 2009-08-16 02:48 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-08-16 02:48 . 2009-08-16 02:48 -------- d-----w- c:\programme\Java
2009-08-14 10:20 . 2004-08-03 21:10 38016 -c--a-w- c:\windows\system32\dllcache\bthmodem.sys
2009-08-14 10:20 . 2004-08-03 21:10 38016 ----a-w- c:\windows\system32\drivers\bthmodem.sys
2009-08-12 20:30 . 2009-08-12 20:30 -------- d-----w- c:\windows\ServicePackFiles

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-11 16:28 . 2009-06-21 12:16 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\Skype
2009-09-11 16:28 . 2009-06-21 12:19 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\skypePM
2009-09-11 16:27 . 2009-06-23 07:36 -------- d-----w- c:\programme\Steam
2009-09-03 20:13 . 2009-07-01 05:58 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\dvdcss
2009-08-31 19:52 . 2007-10-29 12:00 80104 ----a-w- c:\windows\system32\perfc007.dat
2009-08-31 19:52 . 2007-10-29 12:00 448470 ----a-w- c:\windows\system32\perfh007.dat
2009-08-31 19:50 . 2009-06-20 19:15 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-08-31 01:22 . 2009-06-28 21:12 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\uTorrent
2009-08-21 13:38 . 2009-06-26 13:58 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\ICQ
2009-08-21 11:54 . 2009-06-25 17:35 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\teamspeak2
2009-08-21 11:54 . 2009-06-25 17:35 -------- d-----w- c:\programme\Teamspeak2_RC2
2009-08-09 05:05 . 2009-06-22 13:22 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\vlc
2009-08-08 21:14 . 2009-08-08 20:06 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\kikin
2009-08-08 20:06 . 2009-08-08 20:06 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\OCS
2009-08-08 20:06 . 2009-08-08 20:06 -------- d-----w- c:\programme\kikin
2009-08-08 20:06 . 2009-08-08 20:06 -------- d-----w- c:\programme\Multi-ICQ
2009-08-08 20:06 . 2009-06-20 23:21 12328 ----a-w- c:\dokumente und einstellungen\132\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-05 09:05 . 2007-10-29 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-03 09:13 . 2009-07-14 21:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-07-17 18:56 . 2007-10-29 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-17 08:50 . 2009-07-16 22:16 -------- d-----w- c:\programme\DAEMON Tools Lite
2009-07-16 22:30 . 2009-07-16 22:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ubisoft
2009-07-16 22:30 . 2009-07-10 20:23 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-07-16 22:30 . 2009-07-10 20:23 22328 ----a-w- c:\dokumente und einstellungen\132\Anwendungsdaten\PnkBstrK.sys
2009-07-16 22:29 . 2009-07-10 20:22 107832 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-07-16 22:29 . 2009-07-10 20:22 2337865 ----a-w- c:\windows\system32\pbsvc.exe
2009-07-16 22:18 . 2009-07-14 21:30 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\DAEMON Tools Lite
2009-07-16 22:16 . 2009-07-16 22:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
2009-07-16 22:16 . 2009-07-16 22:16 -------- d-----w- c:\programme\DAEMON Tools Toolbar
2009-07-14 21:36 . 2009-07-14 21:36 -------- d-----w- c:\programme\MSXML 4.0
2009-07-14 21:30 . 2009-07-14 21:30 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-07-14 21:15 . 2009-07-14 21:14 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-07-14 21:07 . 2009-06-23 10:46 -------- d-----w- c:\programme\Windows Media Connect 2
2009-07-14 20:51 . 2009-07-14 20:51 -------- d-----w- c:\programme\CCleaner
2009-07-14 20:48 . 2009-06-30 07:14 -------- d-----w- c:\dokumente und einstellungen\132\Anwendungsdaten\Samsung
2009-07-14 15:30 . 2009-06-28 21:57 -------- d-----w- c:\programme\Garena
2009-07-14 15:00 . 2009-06-20 19:15 -------- d-----w- c:\programme\ATI Technologies
2009-07-13 21:43 . 2007-10-29 12:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-10 20:22 . 2009-07-10 20:22 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-07-03 16:55 . 2007-10-29 12:00 915456 ----a-w- c:\windows\system32\wininet.dll
2009-06-30 07:13 . 2009-06-30 06:43 5632 ----a-w- c:\windows\system32\drivers\StarOpen.sys
2009-06-26 20:12 . 2009-06-26 20:12 0 ----a-w- c:\windows\nsreg.dat
2009-06-25 18:34 . 2007-10-29 12:00 95744 ----a-w- c:\windows\system32\mqsec.dll
2009-06-25 18:34 . 2007-10-29 12:00 661504 ----a-w- c:\windows\system32\mqqm.dll
2009-06-25 18:34 . 2007-10-29 12:00 533504 ----a-w- c:\windows\system32\mqutil.dll
2009-06-25 18:34 . 2007-10-29 12:00 517120 ----a-w- c:\windows\system32\mqsnap.dll
2009-06-25 18:34 . 2007-10-29 12:00 48640 ----a-w- c:\windows\system32\mqupgrd.dll
2009-06-25 18:34 . 2007-10-29 12:00 47104 ----a-w- c:\windows\system32\mqdscli.dll
2009-06-25 18:34 . 2007-10-29 12:00 225280 ----a-w- c:\windows\system32\mqoa.dll
2009-06-25 18:34 . 2007-10-29 12:00 186880 ----a-w- c:\windows\system32\mqtrig.dll
2009-06-25 18:34 . 2007-10-29 12:00 177152 ----a-w- c:\windows\system32\mqrt.dll
2009-06-25 18:34 . 2007-10-29 12:00 16896 ----a-w- c:\windows\system32\mqise.dll
2009-06-25 18:34 . 2007-10-29 12:00 138240 ----a-w- c:\windows\system32\mqad.dll
2009-06-25 18:34 . 2007-10-29 12:00 123392 ----a-w- c:\windows\system32\mqrtdep.dll
2009-06-25 08:44 . 2007-10-29 12:00 732160 ----a-w- c:\windows\system32\lsasrv.dll
2009-06-25 08:44 . 2007-10-29 12:00 59392 ----a-w- c:\windows\system32\wdigest.dll
2009-06-25 08:44 . 2007-10-29 12:00 56320 ----a-w- c:\windows\system32\secur32.dll
2009-06-25 08:44 . 2007-10-29 12:00 168448 ----a-w- c:\windows\system32\schannel.dll
2009-06-25 08:44 . 2007-10-29 12:00 133632 ----a-w- c:\windows\system32\msv1_0.dll
2009-06-25 08:44 . 2007-10-29 12:00 298496 ----a-w- c:\windows\system32\kerberos.dll
2009-06-22 22:10 . 2009-06-22 22:10 0 ----a-w- c:\windows\ativpsrm.bin
2009-06-22 19:34 . 2009-06-20 22:29 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-06-22 11:49 . 2007-10-29 12:00 19968 ----a-w- c:\windows\system32\mqbkup.exe
2009-06-22 11:49 . 2007-10-29 12:00 117248 ----a-w- c:\windows\system32\mqtgsvc.exe
2009-06-22 11:49 . 2007-10-29 12:00 4608 ----a-w- c:\windows\system32\mqsvc.exe
2009-06-22 11:48 . 2007-10-29 12:00 91776 ----a-w- c:\windows\system32\drivers\mqac.sys
2009-06-22 11:34 . 2007-10-29 12:00 92544 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2009-06-21 12:19 . 2009-06-21 12:19 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-06-20 19:24 . 2009-06-20 19:24 315392 ----a-w- c:\windows\HideWin.exe
2009-06-20 19:02 . 2009-06-20 19:02 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2009-06-16 14:53 . 2007-10-29 12:00 82432 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:53 . 2007-10-29 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-15 11:32 . 2007-10-29 12:00 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-15 11:31 . 2007-10-29 12:00 82944 ----a-w- c:\windows\system32\tlntsess.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E601996F-E400-41CA-804B-CD6373A7EEE2}]
2009-06-09 15:40 429280 ----a-w- c:\programme\kikin\ie_kikin.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-08-03 1667584]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-05-26 24264488]
"Steam"="c:\programme\Steam\Steam.exe" [2009-06-28 1217784]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"SMSTray"="c:\programme\Samsung\EmoDio\SMSTray.exe" [2008-09-17 484880]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-02-28 13516800]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-02-28 86016]
"Ocs_SM"="c:\dokumente und einstellungen\132\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe" [2009-08-08 102400]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-08-16 148888]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-04-10 16126464]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-02-28 1626112]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-03 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2007-10-29 15360]

c:\dokumente und einstellungen\132\Startmen\Programme\Autostart\
ICQ-Tools.de Launcher.lnk - c:\dokumente und einstellungen\132\Anwendungsdaten\Microsoft\Installer\{959214DF-C502-402A-A5A0-D8CE3EB74CDC}\_AA6D09703DA76FD7ACB5DC.exe [2009-8-21 10134]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BlueSoleil.lnk - c:\programme\IVT Corporation\BlueSoleil\gprs.exe [2007-12-27 43608]
MSI US54SE 802.11b+g USB Stick Utility.lnk - c:\programme\MSI\US54SE_Utility\ZDWlan.exe [2009-6-20 483328]
W541U V2.0.lnk - c:\programme\Tenda\W541U V2.0\UI.exe [2009-8-31 2121728]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Games\\World of Warcraft\\WoW-3.0.1-to-3.0.2-deDE-Win-Update-downloader.exe"=
"c:\\Games\\World of Warcraft\\Launcher.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Games\\Rainbowsix Vegas 2\\Binaries\\R6Vegas2_Game.exe"=
"c:\\Games\\Rainbowsix Vegas 2\\Binaries\\R6Vegas2_Launcher.exe"=
"c:\\Programme\\Tenda\\W541U V2.0\\UI.exe"=
"c:\\Games\\Activision\\Wolfenstein\\MP\\Wolf2MPLite.exe"=
"c:\\Games\\Activision\\Wolfenstein\\MP\\Wolf2MP.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:*isabled:Blizzard Downloader: 3724

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [20.06.2009 23:38 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [20.06.2009 23:38 20560]
R2 Start BT in service;Start BT in service;c:\programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe [27.12.2007 15:39 51816]
R3 rt2870;Ralink 802.11n USB Wireless LAN Card Driver;c:\windows\system32\drivers\rt2870.sys [31.08.2009 21:50 627072]
S2 SearchAnonymizer;SearchAnonymizer;c:\dokumente und einstellungen\132\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe [08.08.2009 22:06 40960]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 PciCon;PciCon;\??\d:\pcicon.sys --> d:\PciCon.sys [?]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{F522A7F1-77D5-0D22-3E81-E707CD2E7E4B}]
c:\windows\system32\bootfile.exe
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: {{0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - {E601996F-E400-41CA-804B-CD6373A7EEE2} - c:\programme\kikin\ie_kikin.dll
FF - ProfilePath - c:\dokumente und einstellungen\132\Anwendungsdaten\Mozilla\Firefox\Profiles\5ybrliwh.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\dokumente und einstellungen\132\Anwendungsdaten\Mozilla\Firefox\Profiles\5ybrliwh.default\extensions\{AA994882-F391-4d2e-806F-8908DA4814ED}\components\kikin.dll
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\id Software\QuakeLive\npquakezero.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npPandoWebInst.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-AtiExtEvent - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2009-09-11 18:46
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-117609710-1580436667-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{88F315D3-9674-A792-1E87-9E71FD962345}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iajdifnofbhokjenpp"=hex:6b,61,68,6f,6f,69,64,64,61,6f,6f,6e,6f,6a,6f,6d,64,6b,
69,67,6b,65,00,00
"hadekeagpbbplfnp"=hex:6b,61,68,6f,6f,69,64,64,61,6f,6f,6e,6f,6a,6f,6d,64,6b,
69,67,6b,65,00,00
.
Zeit der Fertigstellung: 2009-09-11 18:47
ComboFix-quarantined-files.txt 2009-09-11 16:47

Vor Suchlauf: 11 Verzeichnis(se), 132.062.339.072 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 132.119.711.744 Bytes frei

224 --- E O F --- 2009-09-10 05:14

Alt 11.09.2009, 20:22   #7
john.doe
 
Spürbar Trojaner oder Virus im System !!!!! - Standard

Spürbar Trojaner oder Virus im System !!!!!



Seit dem 1.9.2009 19:31 Uhr hatte jemand Zugriff auf deinen Rechner. Das etwas passiert ist, hast du ja gemerkt. Hier schau, was alles möglich ist => Remote Administration Tool ? Wikipedia

Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
KILLALL::

Driver::
PciCon
SetupNTGLM7X

RegNull::
[HKEY_USERS\S-1-5-21-117609710-1580436667-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{88F315D3-9674-A792-1E87-9E71FD962345}*]

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{F522A7F1-77D5-0D22-3E81-E707CD2E7E4B}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E601996F-E400-41CA-804B-CD6373A7EEE2}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"=-
"Skype"=-
"Steam"=-
"SpybotSD TeaTimer"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-

File::
C:\WINDOWS\system32\bootfile.exe

DirLook::
c:\programme\Easy MP3 Cutter
c:\programme\Trend Micro
c:\dokumente und einstellungen\132\Anwendungsdaten\Skype
c:\dokumente und einstellungen\132\Anwendungsdaten\skypePM
c:\programme\Steam
c:\dokumente und einstellungen\132\Anwendungsdaten\dvdcss
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

  • Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.


ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 12.09.2009, 00:20   #8
MistaMar
 
Spürbar Trojaner oder Virus im System !!!!! - Standard

Spürbar Trojaner oder Virus im System !!!!!



Die Datei war zu groß, ich habe sie bei Rapidshare hochgeladen .


=> http://rapidshare.com/files/278789152/log.txt.html

mfg
Marius

Alt 12.09.2009, 10:08   #9
john.doe
 
Spürbar Trojaner oder Virus im System !!!!! - Standard

Spürbar Trojaner oder Virus im System !!!!!



Hallo Marius,
Zitat:
Ich merke es daran, dass immer wenn ich einen Text eingeben möchte er immer aus der Eingabe springt und ich so wieder neu klicken muss um etwas schreiben zu können. Quasi so als wollte jemand nicht das ich was schreibe.
Ist das immer noch so oder gibt es eine Besserung?

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 12.09.2009, 10:56   #10
MistaMar
 
Spürbar Trojaner oder Virus im System !!!!! - Standard

Spürbar Trojaner oder Virus im System !!!!!



Jetzt startet der Task: bootfile.exe auch nicht mehr und bis jetzt habe ich dieses problem nicht wieder gehabt. Auch die fehlermeldung mit dem fehlendem Windowas script ist weg. Hoffentlich ist er weg .
Ich bedanke mich für die schnelle Hilfe
mfg
Marius

Alt 12.09.2009, 11:05   #11
john.doe
 
Spürbar Trojaner oder Virus im System !!!!! - Standard

Spürbar Trojaner oder Virus im System !!!!!



Zitat:
bootfile.exe auch nicht mehr und bis jetzt habe ich dieses problem nicht wieder gehabt.
Du hast noch immer nicht verstanden, was ein RAT ist.
Zitat:
Auch die fehlermeldung mit dem fehlendem Windowas script ist weg.
Habe ich etwas übersehen oder erwähnst du das zum ersten Mal? Das bedeutet nämlich, dass es nicht aktiv werden konnte.

Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Antwort

Themen zu Spürbar Trojaner oder Virus im System !!!!!
antivirus, avast, avast!, bho, dll, einstellungen, explorer, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, log, messenger, microsoft, nvidia, plug-in, programme, rundll, skype.exe, software, stick, system, toolbars, trojaner, usb, usb stick, virus, windows, windows xp



Ähnliche Themen: Spürbar Trojaner oder Virus im System !!!!!


  1. Ich scheine einen Virus oder Trojaner auf meinem System zu haben!
    Plagegeister aller Art und deren Bekämpfung - 29.03.2014 (29)
  2. VIRUS oder nicht? System zunächst total unstabil, jetzt läuft wieder alles ?
    Log-Analyse und Auswertung - 03.01.2014 (10)
  3. WinXP, Virus oder Wurm..NT-Autorität \System!
    Plagegeister aller Art und deren Bekämpfung - 29.11.2013 (8)
  4. Wurm,trojaner oder ähnliches auf meinem System
    Log-Analyse und Auswertung - 15.07.2013 (9)
  5. System friert ein; Virus oder Problem Graka?
    Log-Analyse und Auswertung - 14.07.2013 (9)
  6. Trojaner oder Virus oder sonst was schädliches ?
    Log-Analyse und Auswertung - 09.12.2012 (28)
  7. mehrere Probleme u.a. hacken und trojaner oder rootkit im system
    Log-Analyse und Auswertung - 02.01.2012 (1)
  8. Fix Sytem oder System Fix Virus auf Laptop
    Log-Analyse und Auswertung - 20.11.2011 (2)
  9. E-Banking, 20 Pinabfrage, Trojaner entfernt oder System neu auflegen?
    Plagegeister aller Art und deren Bekämpfung - 05.04.2011 (16)
  10. Virus oder sonstiges greift vermutlich System 32 an
    Plagegeister aller Art und deren Bekämpfung - 05.03.2011 (62)
  11. TR/Yektel.A.15 - Trojaner beseitigen oder System neu aufsetzen
    Plagegeister aller Art und deren Bekämpfung - 11.12.2010 (5)
  12. Virus oder Trojaner? Browser reagieren nicht oder verzögert.
    Log-Analyse und Auswertung - 20.10.2010 (26)
  13. Backdoor oder Trojaner noch immer auf meinem System?
    Plagegeister aller Art und deren Bekämpfung - 06.09.2010 (5)
  14. Virus oder Trojaner legt das System lahm, Sweet.Home wird vermutet
    Plagegeister aller Art und deren Bekämpfung - 25.05.2010 (3)
  15. PC - System spürbar langsamer!?!
    Log-Analyse und Auswertung - 20.07.2009 (8)
  16. Tronajer Verdacht Internet spürbar langsam
    Log-Analyse und Auswertung - 18.07.2009 (2)
  17. Trojaner oder Virus + SYSTEM Ordner in C:Programme:gemeinsame Dateien ??
    Mülltonne - 02.11.2008 (1)

Zum Thema Spürbar Trojaner oder Virus im System !!!!! - Habe hier mal meine Log gepostet und hoffe ihr könnt mir helfen. Ich merke das irgendetwas nicht stimmt. Ihr seit mien letzte Hoffnung, bedanke mich schonmal im Vorraus. Logfile of - Spürbar Trojaner oder Virus im System !!!!!...
Archiv
Du betrachtest: Spürbar Trojaner oder Virus im System !!!!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.