Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Backdoor.Win32.Bredavi.yj

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.10.2009, 20:51   #1
410GFA
 
Backdoor.Win32.Bredavi.yj - Standard

Backdoor.Win32.Bredavi.yj



Hallo!

Habe mir heute anscheinend einen Virus eingefangen, bzw. wurde er heute entdeckt... AntiVir hat mir einen Virus namens: Backdoor.Win32.Bredavi.yj angezeigt mit dem Vermerk, dass die Datei c:\WINDOWS\system32\kzpm.exe betroffen ist. Hab dann die Datei bei Jotti hochgeladen und folgendes unerfreuliches Ergebnis bekommen - hier der Link: http://virusscan.jotti.org/de/scanre...db7a26cf92f70b

Lässt sich da noch irgendetwas machen?

Hier auch mal mein HijackThis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:29:17, on 09.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\jeak.de\QIP 2005\qip.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\T-Online\T-Online_Software_6\Browser\browser.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h--p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h--p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h--ps://webmail.uni-jena.de/imp/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h--p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h--p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h--p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h--p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [QIP2005] C:\Programme\jeak.de\QIP 2005\qip.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?5b9a9ddb7c6a4eee805b3029e3ff8bc4
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?5b9a9ddb7c6a4eee805b3029e3ff8bc4
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h--p://www.msn.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h--p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154349438879
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h--p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1154349548395
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - h--p://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Update Service (gupdate1c9a5b8a04f988a) (gupdate1c9a5b8a04f988a) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: RoxUpnpRenderer (RoxUPnPRenderer) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCom\RoxUpnpRenderer.exe
O23 - Service: RoxUpnpServer - Sonic Solutions - C:\Programme\Roxio\WinOnCD 8\Digital Home\RoxUpnpServer.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--


Als erstes war mir aufgefallen, dass sich Firefox nicht mehr öffnen lies bzw. mir wurde beim Start von Firefox gemeldet, dass Firefox abgestürzt und müsse geschlossen werden. Ich hatte dann die Wahl Firefox neu zu starten oder zu beenden. Klickte ich auf neu starten, kam die gleiche Meldung nochmal.
Beim Internet Explorer gestaltete es sich ähnlich. Beim Start erschien die Meldung, dass der Internet Explorer aus Sicherheitsgründen geschlossen werden musste.
Daraufhin lies ich AntiVir durchlaufen, allerdings hielt der Scan-Fortschritt immer an einer bestimmten Stelle an.


Vielleicht kann mir ja jemand helfen... Vielen Dank jedenfalls schonmal im Voraus für die Bemühungen!

Geändert von 410GFA (09.10.2009 um 21:07 Uhr)

Alt 09.10.2009, 23:48   #2
kira
/// Helfer-Team
 
Backdoor.Win32.Bredavi.yj - Standard

Backdoor.Win32.Bredavi.yj



Hallo und Herzlich Willkommen!

- Die Datei "c:\WINDOWS\system32\kzpm.exe" wurde gelöscht?

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
  • Installieren und per Doppelklick starten.
  • Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
  • "Komplett Scan durchführen" wählen (überall Haken setzen)
  • wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
  • alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
  • Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"
eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
Code:
ATTFilter
R3 - URLSearchHook: (no name) - - (no file)
         
3.
Lade dir das Tool CCleaner herunter
installieren ("Füge ...... Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
  • klick auf "Cleaner"→ "Analysieren"→ auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

4.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

5.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

6.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

7.
Ich würde gerne noch all deine installierten Programme sehen:
Ccleaner satrten→ klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
gruß
Coverflow
__________________


Alt 10.10.2009, 13:32   #3
410GFA
 
Backdoor.Win32.Bredavi.yj - Standard

Backdoor.Win32.Bredavi.yj



Hallo und danke für die schnelle Antwort! Ok, dann geh ich mal deine Liste durch - hier die Ergebnisse:

Zitat:
Zitat von Coverflow Beitrag anzeigen
- Die Datei "c:\WINDOWS\system32\kzpm.exe" wurde gelöscht?
Ok, hab sie soeben gelöscht.

Malwarebytes Anti-Malware log

Log:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2935
Windows 5.1.2600 Service Pack 3

10.10.2009 13:48:51
mbam-log-2009-10-10 (13-48-51).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 286385
Laufzeit: 1 hour(s), 3 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 6
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Karin\Anwendungsdaten\DriveCleaner Free (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Karin\Anwendungsdaten\DriveCleaner Free\Logs (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Roland\Anwendungsdaten\DriveCleaner Free (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Roland\Anwendungsdaten\DriveCleaner Free\Logs (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Steffi\Anwendungsdaten\DriveCleaner Free (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Steffi\Anwendungsdaten\DriveCleaner Free\Logs (Rogue.DriveCleaner) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Caro\Eigene Dateien\Downloads\Software\CryptLoad_1.0.4\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6CDEDBD2-CA47-41C3-B1F5-A55297EBFF68}\RP328\A0071938.exe (Trojan.Bebloh) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AB4ZQJWJ\1a23fr[1].exe (Trojan.Bebloh) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Karin\Anwendungsdaten\DriveCleaner Free\Logs\update.log (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Roland\Anwendungsdaten\DriveCleaner Free\Logs\update.log (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Steffi\Anwendungsdaten\DriveCleaner Free\Logs\update.log (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
         
HIJACKTHIS-LOG wurde gefixt!

Ccleaner wurde ausgeführt

neues HijackThis log

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:10:34, on 10.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h--p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h--p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h--ps://webmail.uni-jena.de/imp/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h--p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h--p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h--p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h--p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [QIP2005] C:\Programme\jeak.de\QIP 2005\qip.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?5b9a9ddb7c6a4eee805b3029e3ff8bc4
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?5b9a9ddb7c6a4eee805b3029e3ff8bc4
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h--p://www.msn.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h--p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154349438879
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h--p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1154349548395
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - h--p://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Update Service (gupdate1c9a5b8a04f988a) (gupdate1c9a5b8a04f988a) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: RoxUpnpRenderer (RoxUPnPRenderer) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCom\RoxUpnpRenderer.exe
O23 - Service: RoxUpnpServer - Sonic Solutions - C:\Programme\Roxio\WinOnCD 8\Digital Home\RoxUpnpServer.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 8960 bytes
         
__________________

Alt 10.10.2009, 13:33   #4
410GFA
 
Backdoor.Win32.Bredavi.yj - Standard

Backdoor.Win32.Bredavi.yj



und Teil 2:

filelist log

Code:
ATTFilter
----- Root ----------------------------- 
 Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: 7095-E8C5

 Verzeichnis von C:\

10.10.2009  14:14                43 filelist.txt
10.10.2009  14:08     1.610.612.736 pagefile.sys
10.10.2009  14:08            26.876 aaw7boot.log
27.09.2009  19:40               173 LxDasi.Log

              21 Datei(en)  5.512.347.145 Bytes
               0 Verzeichnis(se), 20.451.024.896 Bytes frei
 
----- Windows -------------------------- 
 Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: 7095-E8C5

 Verzeichnis von C:\WINDOWS

10.10.2009  14:09         1.267.481 WindowsUpdate.log
10.10.2009  14:09                 0 0.log
10.10.2009  14:08               159 wiadebug.log
10.10.2009  14:08                50 wiaservc.log
10.10.2009  14:08             2.048 bootstat.dat
10.10.2009  14:07            32.576 SchedLgU.Txt
09.10.2009  21:22             7.680 Thumbs.db
27.09.2009  19:40               306 LFOInterChangeServer.INI
10.08.2009  22:31               155 NeroDigital.ini
07.06.2009  20:35            36.363 CSTBox.INI

 
----- System  --- 
 Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: 7095-E8C5

 Verzeichnis von C:\WINDOWS\system


              25 Datei(en)        929.787 Bytes
               0 Verzeichnis(se), 20.451.008.512 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: 7095-E8C5

 Verzeichnis von C:\WINDOWS\system32

10.10.2009  14:09             2.206 wpa.dbl
10.10.2009  14:08            51.048 nvapps.xml
10.10.2009  12:24            18.944 Thumbs.db
07.10.2009  20:06               848 KGyGaAvL.sys
02.10.2009  06:26            91.289 lakajrbbxcy
28.08.2009  23:38        24.689.600 MRT.exe
28.08.2009  08:36           838.600 TZLog.log
06.08.2009  19:24           209.632 wuweb.dll
06.08.2009  19:24           327.896 wucltui.dll
06.08.2009  19:24            18.144 wuaueng.dll.mui
06.08.2009  19:24            44.768 wups2.dll
06.08.2009  19:24            15.584 wuapi.dll.mui
06.08.2009  19:24           217.816 wuaucpl.cpl
06.08.2009  19:24            35.552 wups.dll
06.08.2009  19:24            53.472 wuauclt.exe
06.08.2009  19:24            96.480 cdm.dll
06.08.2009  19:24            15.584 wuaucpl.cpl.mui
06.08.2009  19:24            23.264 wucltui.dll.mui
06.08.2009  19:23           575.704 wuapi.dll
06.08.2009  19:23           274.288 mucltui.dll
06.08.2009  19:23         1.929.952 wuaueng.dll
06.08.2009  19:23            17.776 mucltui.dll.mui
06.08.2009  19:23           215.920 muweb.dll
05.08.2009  10:59           206.336 mswebdvd.dll
31.07.2009  15:17           604.488 TUProgSt.exe
31.07.2009  15:17           361.288 TuneUpDefragService.exe
31.07.2009  05:04            15.688 lsdelete.exe
31.07.2009  01:58            69.500 perfc009.dat
31.07.2009  01:58           436.180 perfh009.dat
31.07.2009  01:58            82.668 perfc007.dat
31.07.2009  01:58           453.494 perfh007.dat
19.07.2009  18:41        11.067.392 ieframe.dll
19.07.2009  15:11         5.937.152 mshtml.dll
18.07.2009  18:03         1.509.888 shdocvw.dll
17.07.2009  21:01            58.880 atl.dll
15.07.2009  11:48            29.000 uxtuneup.dll
14.07.2009  13:03            46.080 tzchange.exe
13.07.2009  23:43        10.841.088 wmp.dll
13.07.2009  23:43           286.208 wmpdxm.dll
03.07.2009  18:55           915.456 wininet.dll
03.07.2009  18:55           206.848 occache.dll
03.07.2009  18:55         1.208.832 urlmon.dll
03.07.2009  18:55           594.432 msfeeds.dll
03.07.2009  18:55            55.296 msfeedsbs.dll
03.07.2009  18:55         1.469.440 inetcpl.cpl
03.07.2009  18:55            25.600 jsproxy.dll
03.07.2009  18:55         1.985.536 iertutil.dll
03.07.2009  18:55           184.320 iepeers.dll
03.07.2009  18:55           386.048 iedkcs32.dll
03.07.2009  13:01           173.056 ie4uinit.exe
26.06.2009  18:49            81.920 ieencode.dll
25.06.2009  10:25           136.192 msv1_0.dll
25.06.2009  10:25            56.832 secur32.dll
25.06.2009  10:25           737.792 lsasrv.dll
25.06.2009  10:25           301.568 kerberos.dll
25.06.2009  10:25            54.272 wdigest.dll
25.06.2009  10:25           147.456 schannel.dll
22.06.2009  08:45           726.528 jscript.dll
16.06.2009  16:36           119.808 t2embed.dll
16.06.2009  16:36            81.920 fontsub.dll
15.06.2009  12:43            78.848 telnet.exe
15.06.2009  12:43            82.944 tlntsess.exe
11.06.2009  12:22           199.344 FNTCACHE.DAT
10.06.2009  16:13            85.504 avifil32.dll
10.06.2009  09:19         2.066.432 mstscax.dll
10.06.2009  08:14           132.096 wkssvc.dll
03.06.2009  21:09         1.296.896 quartz.dll
20.05.2009  04:56         2.458.112 WMVCore.dll
07.05.2009  17:32           348.160 localspl.dll

            2580 Datei(en)    689.059.546 Bytes
               0 Verzeichnis(se), 20.450.820.096 Bytes frei
 
----- Prefetch ------------------------- 
 Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: 7095-E8C5

 Verzeichnis von C:\WINDOWS\Prefetch

10.10.2009  14:14            11.342 FIND.EXE-0EC32F1E.pf
10.10.2009  14:14            11.272 CMD.EXE-087B4001.pf
10.10.2009  14:14            35.142 WINRAR.EXE-3588DFE8.pf
10.10.2009  14:14            45.808 DLMAN.EXE-0885EA3E.pf
10.10.2009  14:13            10.094 SC_WATCH.EXE-1BEDDA24.pf
10.10.2009  14:13            39.886 KERNEL.EXE-1D94E7A1.pf
10.10.2009  14:13            34.158 WSUSRMGR.EXE-28188A17.pf
10.10.2009  14:13            32.296 PROFIL~1.EXE-21BC5BDB.pf
10.10.2009  14:13            15.806 BROWSER.EXE-2ED051C5.pf
10.10.2009  14:13            15.456 VERCLSID.EXE-3667BD89.pf
10.10.2009  14:10            14.770 NOTEPAD.EXE-336351A9.pf
10.10.2009  14:10            22.722 HIJACKTHIS.EXE-39024128.pf
10.10.2009  14:09            71.822 WGATRAY.EXE-0ED38BED.pf
10.10.2009  14:09            52.522 AVWSC.EXE-24612965.pf
10.10.2009  14:09           140.356 WMIPRVSE.EXE-28F301A9.pf
10.10.2009  14:09            15.658 ALG.EXE-0F138680.pf
10.10.2009  14:09            14.256 AAWTRAY.EXE-31E33C30.pf
10.10.2009  14:09            35.342 DLLHOST.EXE-5353C76C.pf
10.10.2009  14:09            26.846 UNSECAPP.EXE-1A95A33B.pf
10.10.2009  14:09            17.154 RUNDLL32.EXE-35A483DA.pf
10.10.2009  14:09         1.542.328 NTOSBOOT-B00DFAAD.pf
10.10.2009  14:05            23.128 CCLEANER.EXE-065E2F3F.pf
10.10.2009  14:05            60.004 WUAUCLT.EXE-399A8E72.pf
10.10.2009  14:05            27.198 CCSETUP224_SLIM.EXE-2A88A394.pf
10.10.2009  14:05            27.800 MSNTBUP.EXE-0FE4C519.pf
10.10.2009  14:03            32.726 AAWSERVICE.EXE-1E1DE6D1.pf
10.10.2009  14:03            49.450 TEATIMER.EXE-38E505A8.pf
10.10.2009  14:03            14.640 CTFMON.EXE-0E17969B.pf
10.10.2009  14:03            64.048 QIP.EXE-008F047F.pf
10.10.2009  14:03            37.726 HDECK.EXE-05814362.pf
10.10.2009  14:03            19.202 VPNGUI.EXE-10986A0F.pf
10.10.2009  14:03            61.092 AVGNT.EXE-39CD89BF.pf
10.10.2009  14:03            67.904 MBAM.EXE-11D8BBD8.pf
10.10.2009  14:03           107.708 EXPLORER.EXE-082F38A9.pf
10.10.2009  14:03            51.940 USERINIT.EXE-30B18140.pf
10.10.2009  14:03            36.168 GOOGLEUPDATE.EXE-187AE91D.pf
10.10.2009  14:03            11.552 NWIZ.EXE-2D0F9FBC.pf
10.10.2009  14:03            18.242 RUNDLL32.EXE-415F88EC.pf
10.10.2009  14:03            98.994 ONECLICKSTARTER.EXE-25A6E9E3.pf
10.10.2009  14:02            13.920 GOOGLECRASHHANDLER.EXE-2EEBA74C.pf
10.10.2009  13:55            15.832 TOCONNKI.EXE-1883B2A7.pf
10.10.2009  13:52             8.130 MBAMGUI.EXE-1E06AB95.pf
10.10.2009  13:49            18.154 LOGONUI.EXE-0AF22957.pf
10.10.2009  13:48            14.476 REGEDIT.EXE-1B606482.pf
10.10.2009  13:48            17.018 GUARDGUI.EXE-147E0160.pf
10.10.2009  12:37            22.352 REGSVR32.EXE-25EEFE2F.pf
10.10.2009  12:36            22.722 MBAM-SETUP.TMP-2C97F44E.pf
10.10.2009  12:36            15.572 MBAM-SETUP.EXE-290ED79D.pf
10.10.2009  12:25            23.086 CRASHREPORTER.EXE-38DC7BD9.pf
10.10.2009  12:25            72.858 FIREFOX.EXE-1D57670A.pf
10.10.2009  12:24            54.674 ACRORD32INFO.EXE-19B1D743.pf
10.10.2009  12:19            37.296 KZPM.EXE-35EC4E3F.pf
10.10.2009  12:15            67.112 HELPSVC.EXE-2878DDA2.pf
10.10.2009  12:12            95.802 DFRGNTFS.EXE-269967DF.pf
10.10.2009  12:12            16.446 DEFRAG.EXE-273F131E.pf
10.10.2009  12:12           457.964 Layout.ini
10.10.2009  12:07             6.776 LOGON.SCR-151EFAEA.pf
10.10.2009  11:59            58.972 UPDATE.EXE-3398FCD6.pf
09.10.2009  21:29            15.504 HJTINSTALL202.EXE-39B34B76.pf
09.10.2009  21:16            19.944 TASKMGR.EXE-20256C55.pf
09.10.2009  21:14            36.454 DWWIN.EXE-30875ADC.pf
09.10.2009  21:14            71.812 DUMPREP.EXE-1B46F901.pf
09.10.2009  20:56            57.298 AVNOTIFY.EXE-31D7686A.pf
09.10.2009  20:54            68.798 SPYBOTSD.EXE-1D495A65.pf
09.10.2009  20:46            48.500 AVSCAN.EXE-25724B6E.pf
09.10.2009  20:11            19.434 DRWTSN32.EXE-2B4B52AC.pf
09.10.2009  20:11            16.474 RUNDLL32.EXE-2CA89FC1.pf
09.10.2009  20:11           109.834 IEXPLORE.EXE-2CA9778D.pf
09.10.2009  20:07            17.734 THREATWORK.EXE-2CC668FF.pf
09.10.2009  20:07            14.700 AD-AWAREADMIN.EXE-1618EEEB.pf
09.10.2009  18:34            52.390 AD-AWARE.EXE-2B8B58D1.pf
09.10.2009  18:25            68.570 AVCONFIG.EXE-18FA6095.pf
09.10.2009  18:20            55.830 AVCENTER.EXE-1D2DB8A2.pf
09.10.2009  18:10            29.844 RUNDLL32.EXE-44A0B4BC.pf
09.10.2009  18:09            46.214 TUNEUPDEFRAGSERVICE.EXE-24FF2B48.pf
09.10.2009  18:08            75.094 HELPCTR.EXE-3862B6F5.pf
09.10.2009  18:08            71.162 REGISTRYCLEANER.EXE-13F9F4AD.pf
09.10.2009  18:07            67.948 ONECLICK.EXE-12ADE2F2.pf
09.10.2009  12:48            62.444 WMPLAYER.EXE-0996933A.pf
09.10.2009  12:46            40.304 NOTIFIER.EXE-1927A6E9.pf
09.10.2009  12:46            28.478 IMAPI.EXE-0BF740A4.pf
09.10.2009  12:44            38.788 CONFIG.EXE-2E5DF16F.pf
09.10.2009  11:46            23.176 CONTROL.EXE-013DBFB5.pf
09.10.2009  11:46            26.708 RUNDLL32.EXE-223B4F7E.pf
09.10.2009  07:00            30.210 WMPNSCFG.EXE-094B04CE.pf
08.10.2009  16:09            30.742 WMPNETWK.EXE-1EDAFEC2.pf
08.10.2009  16:09            30.268 NETSH.EXE-085CFFDE.pf
07.10.2009  20:06            59.664 PRWIN13.EXE-2B8AB900.pf
05.10.2009  10:19            25.488 DAVINCI.SCR-28BEDC30.pf
05.10.2009  10:19            16.632 RUNDLL32.EXE-2E5AF1D7.pf
03.10.2009  12:24            47.286 ADOBE_UPDATER.EXE-059F58EC.pf
03.10.2009  12:20            56.588 SKYPEPM.EXE-03F1BFBD.pf
02.10.2009  21:57            75.946 ICQ.EXE-15A4C655.pf
02.10.2009  21:48            62.636 SKYPE.EXE-21F19BC8.pf
02.10.2009  11:06            23.914 ROXUPNPSERVER.EXE-08416DB2.pf
02.10.2009  06:26            12.112 TEMP_8901245.EXE-3AFFBAEA.pf
02.10.2009  06:25            10.230 SC_WATCH.EXE-105B9A9E.pf
02.10.2009  06:25            34.100 KERNEL.EXE-02A660F3.pf
30.09.2009  17:24            13.086 RUNDLL32.EXE-451FC2C0.pf
              99 Datei(en)      5.766.058 Bytes
               0 Verzeichnis(se), 20.450.869.248 Bytes frei
 
----- Tasks ---------------------------- 
 Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: 7095-E8C5

 Verzeichnis von C:\WINDOWS\tasks

10.10.2009  14:09               490 1-Klick-Wartung.job
10.10.2009  14:08             1.084 GoogleUpdateTaskMachineCore.job
10.10.2009  14:08                 6 SA.DAT
10.10.2009  14:05               248 Auf Updates fr Windows Live Toolbar prfen.job
10.10.2009  13:27             1.088 GoogleUpdateTaskMachineUA.job

               6 Datei(en)          2.981 Bytes
               0 Verzeichnis(se), 20.450.873.344 Bytes frei
 
----- Windows/Temp ----------------------- 
 Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: 7095-E8C5

 Verzeichnis von C:\WINDOWS\Temp

10.10.2009  14:09               409 WGANotify.settings
10.10.2009  14:08               255 WGAErrLog.txt
10.10.2009  13:56             7.168 etilqs_zgLET7CiWJ8oYp7QWm99
10.10.2009  13:56             1.028 etilqs_XEqcv0JOn6u7yy9XaT94
10.10.2009  13:56               512 etilqs_vYVHgy6cAj1LC6Hop1aM
09.10.2009  18:19                 0 T30DebugLogFile.txt
               6 Datei(en)          9.372 Bytes
               0 Verzeichnis(se), 20.450.873.344 Bytes frei
 
----- Temp ----------------------------- 
 Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: 7095-E8C5

 Verzeichnis von C:\DOKUME~1\Caro\LOKALE~1\Temp

10.10.2009  12:25                96 TOB_ILP.xml
09.10.2009  18:08           798.234 IMT11.xml
09.10.2009  18:08               426 IMT10.xml
09.10.2009  18:08             2.036 IMTF.xml
21.09.2009  12:10             3.744 java_install_reg.log
16.08.2009  15:35               406 CacheTable.xml
13.08.2009  17:53            29.662 TWAIN.LOG
13.08.2009  17:51           326.976 CNQ1213.shd
13.08.2009  17:51                 4 Twain001.Mtx
13.08.2009  17:51               156 Twunk001.MTX
10.08.2009  22:28                 0 CacheInfo.dnl
31.07.2009  15:23           798.234 IMTF7.xml
31.07.2009  15:23               426 IMTF6.xml
31.07.2009  15:23             2.036 IMTF5.xml
31.07.2009  15:23           798.234 IMTF4.xml
31.07.2009  15:23               426 IMTF3.xml
31.07.2009  15:23             2.036 IMTF2.xml
31.07.2009  15:23           798.234 IMTF1.xml
31.07.2009  15:23               426 IMTF0.xml
31.07.2009  15:23             2.036 IMTEF.xml
31.07.2009  02:06            11.422 dd_vcredistUI17AD.txt
31.07.2009  02:06           518.548 dd_vcredistMSI17AD.txt
31.07.2009  01:58            29.178 InoSetup.log
30.07.2009  23:56             1.172 PCULog3.txt
30.07.2009  23:52             1.396 wmplog02.sqm
30.07.2009  23:51             1.396 wmplog01.sqm
30.07.2009  22:28            11.792 dd_ATL80SP1_KB973923UI70AC.txt
30.07.2009  22:28           802.604 dd_ATL80SP1_KB973923MSI70AC.txt
29.05.2009  19:06             1.384 wmplog00.sqm
02.05.2009  19:26             2.533 Discopier8.log

             106 Datei(en)     52.652.245 Bytes
               0 Verzeichnis(se), 20.450.861.056 Bytes frei
         
installierte Programme log
Code:
ATTFilter
Ad-Aware
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Reader 9.1.3 - Deutsch
Adobe Shockwave Player
ArcSoft PhotoStudio 5.5
Avira AntiVir Personal - Free Antivirus
Big Pizza Ski Challenge 2009
Blender (remove only)
Canon CanoScan Toolbox 4.9
Canon ScanGear Starter
CCleaner (remove only)
Cisco Systems VPN Client 5.0.02.0090
CleanUp!
CloneCD
dakota.ag
Die Sims Deluxe
DivX Codec
DivX Converter
DivX Player
DivX Web Player
DVD Shrink 3.2
eMule
eTrust Registration
GemMaster Mystic
Google Earth
GTR 2
Guitar Pro 5.0
Hama Black Force Pad
Haufe Formular-Manager
HaufeReader
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
ICQ6.5
Informationen über Ihren PC
J2SE Runtime Environment 5.0 Update 7
K-Lite Mega Codec Pack 4.7.0
Learn2 Player (Uninstall Only)
Lexware Elster
Lexware financial office 2009
Lexware Info Service
Lexware know how buchhaltung mini
Malwarebytes' Anti-Malware
Manual CanoScan LiDE 25
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Windows-Journal-Viewer
Microsoft Word 97
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket
Mozilla Firefox (3.5.2)
MSN
MSXML 4.0 SP2 (KB925672)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
Nero Media Player
Nero OEM
NeroVision Express 2
NVIDIA Drivers
Otto
PowerDVD
QIP 2005 8094 Jeak-Edition
QIP 2005 8095 Jeak-Edition
QuickTime
Rappelz_USA
RealPlayer
RENESIS® Player Browser Plugins
Roxio Content 8
Roxio WinOnCD 8
SAMSUNG Mobile Composite Device Software
SAMSUNG Mobile Modem Driver Set
Samsung Mobile phone USB driver Software
SAMSUNG Mobile USB Modem 1.0 Software
SAMSUNG Mobile USB Modem Software
Samsung PC Studio 3
Samsung PC Studio 3 USB Driver Installer
ScanSoft OmniPage SE 4.0
SCHLECKER Foto-Digital-Service
Silver
SiSoftware Sandra Lite 2009.SP2
Skype™ 3.2
Spybot - Search & Destroy
STAMPIT
sv.net
T-Online 6.0
TeamSpeak 2 RC2
toolboxx Lexware minijobs
TuneUp Utilities 2009
VIA Platform Device Manager
Viewpoint Media Player
VLC media player 1.0.1
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 8
Windows Live Toolbar
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player Firefox Plugin
Windows XP Media Center Edition Screen Saver Screen Saver
Windows XP Service Pack 3
Windows-Sicherungsprogramm
WinRAR
WordPerfect Office X3
         
So, hoffe ich habe jetzt nichts vergessen

Alt 10.10.2009, 20:16   #5
kira
/// Helfer-Team
 
Backdoor.Win32.Bredavi.yj - Standard

Backdoor.Win32.Bredavi.yj



hi

Was hast Du gefixt? "HijackThis-Log"
Ich meinte fixe die Eintrag unter Punkt 2. - aus Codebox -> http://www.trojaner-board.de/78260-b...tml#post472125

1.
Code:
ATTFilter
eMule
         
Zitat:
Internet-Tauschbörsen gehören leider zu den unseriösesten Anbietern, und dort werden sehr viele Schädlinge verbreitet, hierbei sollte deshalb, wenn überhaupt, nur ganz besonders vorsichtig umgegangen werden ! Laut Studien sind bei den Tauschbörsen bei 45% der zum Download angebotenen Dateien, Viren oder Würmer und sonstige Schädlinge enthalten!
Hinzu kommt noch, dass die meisten Downloads von diesen Tauschbörsen eh illegal sind, und damit die Nutzer verleitet werden, „Straftaten“ zu begehen!
Selbst wenn du ein „sicheres“ P2P Programm verwendest, ist es nur das Programm, das sicher ist.Du wirst Daten von "uncertified Quellen" teilen, und diese werden häufig angesteckt...

2.
starte HijackThis--> wähle: "config -> misc tools --> delete a file on reboot"--> wähle die zu löschende datei - sehe der Inhalt dieser Code-Box (Text kopieren und einfügen, oder "Durchsuchen"), die frage zum neustart mit JA beantworten
Code:
ATTFilter

C:\WINDOWS\system32\lakajrbbxcy
 
         
3.
Alte Java-Versionen entfernen:
- Lade Dir JavaRa von prm753 herunter
- auf dem Desktop entpacken
- die JavaRa.exe per Doppelklick starten
- wähle "Remove Older Versions" und klicke auf "Yes
- wird ein Log erstellt, kannst Du speichern (posten nicht nötig)

4.
Installiere die Offline-Version von Java Java Runtime Environment (JRE) 6 Update aktuelle Version ) von http://www.trojaner-board.de/105213-java-update-einstellungen.html]SUN[/url]

5.
- den Quarantäne Ordner überall leeren (Funde löschen) - Antivirus bzw Anti-Spy-Programm usw
- das Malwarebytes deinstallieren

6.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
  • `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
  • `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
  • für jedes Benutzerkonto bitte durchführen
  • anschließend den Papierkorb leeren

7.
reinige dein System mit Ccleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

8.
  • lade Dir SUPERAntiSpyware FREE Edition herunter.
  • installiere das Programm und update online.
  • starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
  • setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
  • anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
  • auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
  • um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
  • drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

9.
Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus:
im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

10.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

** Dein Rechner ist sonst in Ordnung?


Antwort

Themen zu Backdoor.Win32.Bredavi.yj
ad-aware, ad-watch, adobe, antivir, antivir guard, aus sicherheitsgründen, avira, bho, browser, components, desktop, explorer, firefox, firefox neu, gupdate, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, log, neu starten, nicht mehr öffnen, nvidia, programme, rundll, server, sicherheitsgründe, sicherheitsgründen, software, starten, system, tuneup.defrag, virus, virus eingefangen, windows, windows xp



Ähnliche Themen: Backdoor.Win32.Bredavi.yj


  1. Kaspersky findet Backdoor.Win32.Zaccess, Trojan-Ransom.Win32.Gimeno, Trojan.Win32.Inject
    Log-Analyse und Auswertung - 01.02.2014 (17)
  2. Exploit.Script.Generic, Exploit.JS.Pdfka.gfa, Backdoor.Win32.ZAccess.ypw, Backdoor.Win32.ZAccess.yqi, Trojan.Win32.Miner.dw und weitere
    Log-Analyse und Auswertung - 02.10.2012 (7)
  3. Backdoor.Win32.ZAccess.mbg und Trojan.Win32.Small.bmph
    Log-Analyse und Auswertung - 10.07.2012 (28)
  4. Backdoor:Win32/Cbot.B - Trojan:Win32/FakeSysdef
    Log-Analyse und Auswertung - 04.05.2011 (32)
  5. Probleme beim Online-Banking: Trojan.Win32.Generic!BT, Win32.Backdoor.Papras/A und andere...
    Log-Analyse und Auswertung - 06.11.2010 (19)
  6. Backdoor:Win32/IRCbot.gen!M und Win32/Oficla.V
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (1)
  7. BDS/Bredavi.azd in C:\Users\****\AppData\Local\Temp\****.exe
    Plagegeister aller Art und deren Bekämpfung - 29.11.2009 (8)
  8. Antivir findet den Virus 'BDS/Bredavi.azt' [backdoor]
    Plagegeister aller Art und deren Bekämpfung - 26.11.2009 (1)
  9. trojaner - backdoor -- 'TR/Spy.123392' / 'BDS/Bredavi.aq
    Log-Analyse und Auswertung - 24.11.2009 (10)
  10. trojaner --- (TR/Spy.123392 / BDS/Bredavi.aq) --- HJT-Logfile auswerten
    Log-Analyse und Auswertung - 19.11.2009 (6)
  11. Backdoor.Win32.Rbot!IK und Win32.SuspectCrc!IK 1
    Plagegeister aller Art und deren Bekämpfung - 14.07.2009 (4)
  12. Backdoor.Win32.Agent.tpi und Packed.Win32.Black.a
    Plagegeister aller Art und deren Bekämpfung - 07.12.2008 (4)
  13. eventuell noch trojaner? Trojan-PSW.Win32.Delf.cqp, Backdoor.Win32.Poison.jmo
    Log-Analyse und Auswertung - 21.11.2008 (0)
  14. Backdoor.Win32.VB.bco
    Plagegeister aller Art und deren Bekämpfung - 30.07.2007 (12)
  15. Trojan.Win32.Sphinx.a+Backdoor.Win32.agent.zq+HJT-log
    Plagegeister aller Art und deren Bekämpfung - 01.12.2006 (1)
  16. Backdoor.Win32.Agent.iw
    Plagegeister aller Art und deren Bekämpfung - 09.11.2006 (3)
  17. Backdoor.Win32.Y3K.Rat.10
    Plagegeister aller Art und deren Bekämpfung - 15.04.2005 (11)

Zum Thema Backdoor.Win32.Bredavi.yj - Hallo! Habe mir heute anscheinend einen Virus eingefangen, bzw. wurde er heute entdeckt... AntiVir hat mir einen Virus namens: Backdoor.Win32.Bredavi.yj angezeigt mit dem Vermerk, dass die Datei c:\WINDOWS\system32\kzpm.exe betroffen ist. - Backdoor.Win32.Bredavi.yj...
Archiv
Du betrachtest: Backdoor.Win32.Bredavi.yj auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.