Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner/ Maleware/ falscher DNS Server Eintrag

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.12.2009, 00:18   #1
kleinemausi
 
Trojaner/ Maleware/ falscher DNS Server Eintrag - Standard

Trojaner/ Maleware/ falscher DNS Server Eintrag



Guten Morgen,
bin ganz neu hier und ich habe ein riesiges problem
Mein PC ist absolut verseucht und ich weiß nichtmal warum, da keine spammails geöffnet werden keine komischen downloads getätigt und nur ganz normal gesurft wird. Chatten über windowslife o.a auch nur mit engen bekannten o. Arbeitskollegen und ohne dateien oder sonstiges zu öffnen.

1. Da ich vorgestern Abend schon veränderungen am PC bemerkt habe, habe ich natürlich gleich alles gescannt, mit Erfolg dachte ich. Aber die Malware hat sich immer wieder selbst reproduziert.
Sogar beim Windows starten wurde ich dann mit Fehlermedungen überhäuft, bis hin zu einem komischen Anmelde-Verfahren.

2. Dann habe ich das komplette System neu aufgesetzt (u formatiert), ging erstmal gut, bis ich das Internetkabel wieder rein gesteckt habe um diverse WindowsUpdates zu machen. Der PC war wieder voll mit der gleichen Malware.
DNS Server Adresse wurde geändert. Jetzt kann ich nur im abgesicherten Modus etwas am PC machen.

Hijackthis kann ich nicht downloaden sonst würde ich die Log hier anhängen
Combofix (auch mit Namensänderung der exe/ exe bekam ich vom Support meines Virenprogramms zugesendet per mail/ mit combofix aus diese Forum gleiche Meldung) lässt sich nicht öffnen. Auch nicht wenn von einem anderen PC gedownloadet und per USB Stick angewendet wird.
Fehlermeldung: Datei wurde verändert und muss neu gedownloadet werden.

RootRepeal Log und Bullguard. Log unten
kann die logs nicht hochladen

Kann es sein das die schädlinge im modem sitzen? Da sie nach kurzer zeit nach der Neuinstallation wieder da waren

Ganz vielen Dank schonmal


Code:
ATTFilter
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:		2009/12/02 00:51
Program Version:		Version 1.3.5.0
Windows Version:		Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xB80BA000	Size: 98304	File Visible: No	Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF79A9000	Size: 8192	File Visible: No	Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xB7648000	Size: 49152	File Visible: No	Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: Volume C:\
Status: MBR Rootkit Detected!

Path: C:\WINDOWS\system32\config
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\curslib.dll
Status: Invisible to the Windows API!

Path: C:\WINDOWS\system32\wincert.dll
Status: Invisible to the Windows API!

Path: c:\dokumente und einstellungen\****\lokale einstellungen\temp\~df668.tmp
Status: Allocation size mismatch (API: 393216, Raw: 16384)

Path: c:\dokumente und einstellungen\****\lokale einstellungen\temp\~df6bf7.tmp
Status: Allocation size mismatch (API: 32768, Raw: 16384)

Path: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BTP11IAN\bind[2].htm
Status: Invisible to the Windows API!

Path: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M626NEIE\bind[1].htm
Status: Visible to the Windows API, but not on disk.

Path: C:\Programme\Gemeinsame Dateien\Adobe\TypeSpt\Unicode\Mappings\win
Status: Invisible to the Windows API!

Path: c:\dokumente und einstellungen\****\lokale einstellungen\anwendungsdaten\microsoft\internet explorer\recovery\active\{01aab35a-ded2-11de-bf37-001966e65649}.dat
Status: Size mismatch (API: 61440, Raw: 39936)

Path: Volume D:\
Status: MBR Rootkit Detected!

Path: Volume E:\
Status: MBR Rootkit Detected!

Path: E:\Adobe\Reader 9.0\Resource\TypeSupport\Unicode\Mappings\win
Status: Invisible to the Windows API!

Stealth Objects
-------------------
Object: Hidden Code [Driver: ACPI, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System	Address: 0x88c24020	Size: 4068

==EOF==
         
Code:
ATTFilter
2009/12/01 06:59:30 | C:\WINDOWS\Temp\VRT16C.tmp [QUARANTINED] [process: 1104.\??\C:\WINDOWS\system32\winlogon.exe] [user: ****] [virus: Gen:Trojan.Heur.hmGfvzS7O4eix] [op: CLOSE]
2009/12/01 06:59:50 | C:\WINDOWS\Temp\VRT16F.tmp [QUARANTINED] [process: 1104.\??\C:\WINDOWS\system32\winlogon.exe] [user: ****] [virus: Trojan.Generic.2498148] [op: CLOSE]
2009/12/01 07:00:03 | C:\WINDOWS\Temp\VRT173.tmp [QUARANTINED] [process: 1104.\??\C:\WINDOWS\system32\winlogon.exe] [user: ****] [virus: Trojan.Agent.ANWO] [op: CLOSE]
2009/12/01 07:00:31 | C:\WINDOWS\system32\verclsid.exe [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user: ****] [virus: Gen:Trojan.Heur.cm0@5CHd@Idi] [op: CLOSE]
2009/12/01 07:01:58 | C:\WINDOWS\ALCMTR.EXE [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user: ****] [virus: GenPack:Generic.Malware.YV!Wk!g.FE42AF70] [op: CLOSE]
2009/12/01 07:01:58 | C:\WINDOWS\slrundll.exe [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user: ****] [virus: GenPack:Generic.Malware.YV!g.E79BBF2A] [op: CLOSE]
2009/12/01 07:02:26 | C:\WINDOWS\system32\eventvwr.exe [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user: ****] [virus: Gen:Trojan.Heur.bm0@5aOnq7B] [op: CLOSE]
2009/12/01 07:02:28 | C:\WINDOWS\system32\mrinfo.exe [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user: ****] [virus: Gen:Trojan.Heur.cm0@5S21qxr] [op: CLOSE]
2009/12/01 07:02:28 | C:\WINDOWS\system32\mpnotify.exe [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user:****] [virus: Gen:Trojan.Heur.cm0@5SkOAKdi] [op: CLOSE]
2009/12/01 07:02:28 | C:\WINDOWS\system32\nbtstat.exe [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user:****] [virus: Gen:Trojan.Heur.cm0@5aIAV2F] [op: CLOSE]
2009/12/01 07:02:28 | C:\WINDOWS\system32\pentnt.exe [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user: *****] [virus: Gen:Trojan.Heur.cm0@5WGN6Jii] [op: CLOSE]
2009/12/01 07:02:30 | C:\WINDOWS\system32\qappsrv.exe [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user:****] [virus: Gen:Trojan.Heur.cm0@5aX4EAF] [op: CLOSE]
2009/12/01 07:02:33 | C:\WINDOWS\system32\spupdwxp.exe [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user: ****] [virus: Gen:Trojan.Heur.cm0@5WH!fYii] [op: CLOSE]
2009/12/01 07:02:33 | C:\WINDOWS\system32\spdwnwxp.exe [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user: ****] [virus: Gen:Trojan.Heur.bm0@5uo02Fbi] [op: CLOSE]
2009/12/01 07:02:34 | C:\WINDOWS\system32\slrundll.exe [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user: *****] [virus: GenPack:Generic.Malware.YV!g.E79BBF2A] [op: CLOSE]
2009/12/01 07:02:37 | C:\WINDOWS\system32\ssmarque.scr [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user: ****] [virus: Gen:Trojan.Heur.cm0@5Wic6AB] [op: CLOSE]
2009/12/01 07:02:38 | C:\WINDOWS\system32\ssbezier.scr [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user: ****] [virus: Gen:Trojan.Heur.cm0@5SS7kGv] [op: CLOSE]
2009/12/01 07:02:38 | C:\WINDOWS\system32\scrnsave.scr [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user: *****] [virus: Gen:Trojan.Heur.bm0@5iLIebs] [op: CLOSE]
2009/12/01 07:02:39 | C:\WINDOWS\system32\ssstars.scr [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user: *****] [virus: Gen:Trojan.Heur.cm0@5a50H3s] [op: CLOSE]
2009/12/01 07:02:40 | C:\WINDOWS\system32\ssmyst.scr [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user: ****] [virus: Gen:Trojan.Heur.cm0@58ypQEB] [op: CLOSE]
2009/12/01 07:02:40 | C:\WINDOWS\system32\sc.exe [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user:****] [virus: Gen:Trojan.Heur.dm0@5uP3HLdi] [op: CLOSE]
2009/12/01 07:02:41 | C:\WINDOWS\system32\MSFEEDSSYNC.EXE [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user:****] [virus: Gen:Trojan.Heur.cq0@50QQCGoi] [op: CLOSE]
2009/12/01 07:02:42 | C:\WINDOWS\system32\nvcolor.exe [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user: ****a] [virus: DeepScan:Generic.Malware.YV!Wk!g.5EEE466A] [op: CLOSE]
2009/12/01 07:02:42 | C:\WINDOWS\system32\tzchange.exe [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user: ****] [virus: Gen:Trojan.Heur.em0@50NMc1gi] [op: CLOSE]
2009/12/01 07:03:42 | C:\WINDOWS\system32\reg.exe [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user: ****] [virus: Gen:Trojan.Heur.em0@5eRJ9rF] [op: CLOSE]
2009/12/01 07:03:46 | C:\WINDOWS\system32\ping.exe [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user: ****] [virus: Gen:Trojan.Heur.cm0@5qjaK9E] [op: CLOSE]
2009/12/01 07:03:47 | C:\WINDOWS\system32\odbcconf.exe [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user: ****] [virus: Gen:Trojan.Heur.fm0@5yHAf8oi] [op: CLOSE]
2009/12/01 07:03:49 | C:\WINDOWS\system32\net.exe [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user: *****] [virus: Gen:Trojan.Heur.dm0@58XQipli] [op: CLOSE]
2009/12/01 07:03:49 | C:\WINDOWS\system32\mstinit.exe [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user: ****] [virus: Gen:Trojan.Heur.bm0@5SqA4gB] [op: CLOSE]
2009/12/01 07:03:56 | C:\WINDOWS\system32\dpnsvr.exe [QUARANTINED] [process: 496.C:\WINDOWS\Explorer.EXE] [user: ****] [virus: Gen:Trojan.Heur.cm0@5qyWTLA] [op: CLOSE]
2009/12/01 19:50:01 | C:\WINDOWS\SOFTWAREDISTRIBUTION\Download\F6503B051821133D1C33AB39A9055D28\tzchange.exe [BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [virus: Gen:Trojan.Heur.em0@5ySejbdi] [op: OPEN]
2009/12/01 19:50:02 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:02 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:02 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:02 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:02 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:02 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:02 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:02 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:03 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:03 | C:\WINDOWS\SoftwareDistribution\Download\f6503b051821133d1c33ab39a9055d28\tzchange.exe [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:03 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:03 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:03 | C:\WINDOWS\SoftwareDistribution\Download\f6503b051821133d1c33ab39a9055d28\tzchange.exe [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:03 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:03 | C:\WINDOWS\SoftwareDistribution\Download\f6503b051821133d1c33ab39a9055d28\tzchange.exe [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:03 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:03 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:03 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:03 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:03 | C:\WINDOWS\SoftwareDistribution\Download\f6503b051821133d1c33ab39a9055d28\tzchange.exe [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:04 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:04 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:04 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:04 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:04 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:04 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:04 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:04 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:05 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:05 | C:\WINDOWS\SoftwareDistribution\Download\f6503b051821133d1c33ab39a9055d28\tzchange.exe [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:05 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:05 | C:\WINDOWS\SoftwareDistribution\Download\f6503b051821133d1c33ab39a9055d28\tzchange.exe [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:05 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:05 | C:\WINDOWS\SoftwareDistribution\Download\f6503b051821133d1c33ab39a9055d28\tzchange.exe [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:05 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:05 | C:\WINDOWS\SoftwareDistribution\Download\f6503b051821133d1c33ab39a9055d28\tzchange.exe [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:05 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:05 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:05 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:05 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:06 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:06 | C:\WINDOWS\SoftwareDistribution\Download\f6503b051821133d1c33ab39a9055d28\tzchange.exe [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:06 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:06 | C:\WINDOWS\SoftwareDistribution\Download\f6503b051821133d1c33ab39a9055d28\tzchange.exe [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:06 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:06 | C:\WINDOWS\SoftwareDistribution\Download\f6503b051821133d1c33ab39a9055d28\tzchange.exe [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:06 | C:\WINDOWS\SOFTWAREDISTRIBUTION\DOWNLOAD\F6503B051821133D1C33AB39A9055D28\TZCHANGE.EXE [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:06 | C:\WINDOWS\SoftwareDistribution\Download\f6503b051821133d1c33ab39a9055d28\tzchange.exe [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:06 | C:\WINDOWS\SoftwareDistribution\Download\f6503b051821133d1c33ab39a9055d28\tzchange.exe [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:06 | C:\WINDOWS\SoftwareDistribution\Download\f6503b051821133d1c33ab39a9055d28\tzchange.exe [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:06 | C:\WINDOWS\SoftwareDistribution\Download\f6503b051821133d1c33ab39a9055d28\tzchange.exe [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 19:50:06 | C:\WINDOWS\SoftwareDistribution\Download\f6503b051821133d1c33ab39a9055d28\tzchange.exe [AUTO BLOCKED] [process: 1604.C:\WINDOWS\System32\svchost.exe] [user: N/A] [op: OPEN]
2009/12/01 20:02:39 | C:\Programme\MSN\MSNCoreFiles\msn6.exe [QUARANTINED] [process: 3648.C:\WINDOWS\explorer.exe] [user: *****] [virus: DeepScan:Generic.Malware.SYV!dWk!g.E8393919] [op: OPEN]
2009/12/01 20:02:42 | C:\Programme\MSN Gaming Zone\Windows\bckgzm.exe [QUARANTINED] [process: 3648.C:\WINDOWS\explorer.exe] [user: ****] [virus: GenPack:Generic.Malware.YV!g.66ADF059] [op: OPEN] - suspected only
2009/12/01 20:02:42 | C:\Programme\MSN Gaming Zone\Windows\chkrzm.exe [QUARANTINED] [process: 3648.C:\WINDOWS\explorer.exe] [user: *****] [virus: GenPack:Generic.Malware.YV!g.66ADF059] [op: OPEN] - suspected only
2009/12/01 20:02:42 | C:\Programme\MSN Gaming Zone\Windows\hrtzzm.exe [QUARANTINED] [process: 3648.C:\WINDOWS\explorer.exe] [user: ****] [virus: GenPack:Generic.Malware.YV!g.66ADF059] [op: OPEN] - suspected only
2009/12/01 20:02:43 | C:\Programme\MSN Gaming Zone\Windows\Rvsezm.exe [QUARANTINED] [process: 3648.C:\WINDOWS\explorer.exe] [user: ****] [virus: GenPack:Generic.Malware.YV!g.66ADF059] [op: OPEN] - suspected only
2009/12/01 20:02:43 | C:\Programme\MSN Gaming Zone\Windows\shvlzm.exe [QUARANTINED] [process: 3648.C:\WINDOWS\explorer.exe] [user: *****] [virus: GenPack:Generic.Malware.YV!g.66ADF059] [op: OPEN] - suspected only
2009/12/01 20:02:51 | C:\WINDOWS\system32\dllcache\bckgzm.exe [QUARANTINED] [process: 1100.\??\C:\WINDOWS\system32\winlogon.exe] [user: *****] [virus: GenPack:Generic.Malware.YV!g.66ADF059] [op: OPEN] - suspected only
2009/12/01 20:02:54 | C:\WINDOWS\system32\dllcache\chkrzm.exe [QUARANTINED] [process: 1100.\??\C:\WINDOWS\system32\winlogon.exe] [user: *****] [virus: GenPack:Generic.Malware.YV!g.66ADF059] [op: OPEN] - suspected only
2009/12/01 20:02:55 | C:\WINDOWS\system32\dllcache\hrtzzm.exe [QUARANTINED] [process: 1100.\??\C:\WINDOWS\system32\winlogon.exe] [user: ****] [virus: GenPack:Generic.Malware.YV!g.66ADF059] [op: OPEN] - suspected only
2009/12/01 20:02:55 | C:\WINDOWS\system32\dllcache\rvsezm.exe [QUARANTINED] [process: 1100.\??\C:\WINDOWS\system32\winlogon.exe] [user: ****\***] [virus: GenPack:Generic.Malware.YV!g.66ADF059] [op: OPEN] - suspected only
2009/12/01 20:02:56 | C:\WINDOWS\system32\dllcache\shvlzm.exe [QUARANTINED] [process: 1100.\??\C:\WINDOWS\system32\winlogon.exe] [user: ****] [virus: GenPack:Generic.Malware.YV!g.66ADF059] [op: OPEN] - suspected only
2009/12/01 20:09:34 | C:\Programme\Internet Explorer\Connection Wizard\icwtutor.exe [QUARANTINED] [process: 3648.C:\WINDOWS\explorer.exe] [user:*****] [virus: Gen:Trojan.Heur.fm0@5aZGHXz] [op: OPEN]
2009/12/01 20:15:53 | C:\Programme\MSN Gaming Zone\Windows\zClientm.exe [QUARANTINED] [process: 1308.E:\CCleaner\CCleaner.exe] [user: ****] [virus: GenPack:Generic.Malware.YV!g.0A89B008] [op: OPEN] - suspected only
2009/12/01 20:15:55 | C:\programme\windows media player\wmlaunch.exe [QUARANTINED] [process: 1308.E:\CCleaner\CCleaner.exe] [user: ****] [virus: Gen:Trojan.Heur.pq0@5CpVMCoi] [op: OPEN]
2009/12/01 20:15:57 | C:\programme\windows media player\wmpenc.exe [QUARANTINED] [process: 1308.E:\CCleaner\CCleaner.exe] [user: ****] [virus: Gen:Trojan.Heur.cq0@5SQyOObi] [op: OPEN]
2009/12/01 20:18:44 | C:\WINDOWS\system32\dllcache\bootok.exe [QUARANTINED] [process: 1308.E:\CCleaner\CCleaner.exe] [user: ****] [virus: Gen:Trojan.Heur.bm0@5y0kBfai] [op: OPEN]
2009/12/01 20:18:44 | C:\WINDOWS\system32\dllcache\bootvrfy.exe [QUARANTINED] [process: 1308.E:\CCleaner\CCleaner.exe] [user:****] [virus: Gen:Trojan.Heur.bm0@5G9snyei] [op: OPEN]
2009/12/01 20:18:46 | C:\WINDOWS\system32\dllcache\chgport.exe [QUARANTINED] [process: 1308.E:\CCleaner\CCleaner.exe] [user: ****] [virus: Gen:Trojan.Heur.cm0@5eBAMIz] [op: OPEN]
2009/12/01 20:18:46 | C:\WINDOWS\system32\dllcache\chgusr.exe [QUARANTINED] [process: 1308.E:\CCleaner\CCleaner.exe] [user: ****] [virus: Gen:Trojan.Heur.cm0@5WAnSnz] [op: OPEN]
2009/12/01 20:19:02 | C:\WINDOWS\system32\usrmlnka.exe [QUARANTINED] [process: 1308.E:\CCleaner\CCleaner.exe] [user: *****] [virus: GenPack:Generic.Malware.SYV!g.95DA66EE] [op: OPEN] - suspected only
2009/12/01 20:19:02 | C:\WINDOWS\system32\usrprbda.exe [QUARANTINED] [process: 1308.E:\CCleaner\CCleaner.exe] [user: ****] [virus: GenPack:Generic.Malware.YV!g.1F392117] [op: OPEN] - suspected only
2009/12/01 20:43:05 | G:\autorun.inf [QUARANTINED] [process: 1100.\??\C:\WINDOWS\system32\winlogon.exe] [user: ****] [virus: Trojan.Autorun.ALK] [op: OPEN]
2009/12/01 20:43:39 | C:\32788R22FWJFW\dosdev.exe [QUARANTINED] [process: 2156.G:\aaaa.exe] [user: ****] [virus: DeepScan:Generic.Malware.YV!dg.44E248DA] [op: CLOSE]
2009/12/01 20:43:40 | C:\32788R22FWJFW\iexplore.exe [QUARANTINED] [process: 2156.G:\aaaa.exe] [***] [virus: GenPack:Generic.Malware.YV!dg.95086F99] [op: CLOSE] - suspected only
2009/12/01 20:44:00 | C:\32788R22FWJFW\NircmdB.exe [QUARANTINED] [process: 3060.C:\WINDOWS\system32\cmd.execf] [user:+++\julefrenya] [virus: GenPack:Generic.Malware.YV!dg.95086F99] [op: CLOSE] - suspected only
         

Alt 02.12.2009, 00:44   #2
kleinemausi
 
Trojaner/ Maleware/ falscher DNS Server Eintrag - Standard

Trojaner/ Maleware/ falscher DNS Server Eintrag



Nachtrag: DNS Server hat wieder eine gültige IP meines Providers, dank einem kurzen Telefonat und gutem Support.

Schädlinge gehen nicht weg. Combofix nicht möglich. Alleinige Herrschaft über meinen PC nur im abgesicherten Modus möglich.
Und ich habe die starken Vermutung, dass mein Sohn am PC gewesen sein könnte auch wenn er es abstreitet. Wenn alles wieder laufen sollte (hoffen, hoffen, hoffen) wird mein PW geändert soviel steht fest
__________________


Alt 02.12.2009, 01:54   #3
kleinemausi
 
Trojaner/ Maleware/ falscher DNS Server Eintrag - Standard

Trojaner/ Maleware/ falscher DNS Server Eintrag



- HijackThis geht jetzt.
- kann nur Seiten im IE8 aufrufen wenn ich die Adresse per Hand eingebe ansonsten werde ich auf WerbeSeiten geleitet oder es wird angezeigt, dass die jeweilige Seite nicht angezeigt werden kann (Verbindungsprobleme)

HijackLog

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:44:31, on 02.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\BullGuard.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\BullGuardUpdate.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\BGScan.exe
C:\Dokumente und Einstellungen\***\Desktop\SpywareTerminatorSetup.exe
C:\DOKUME~1\***~1\LOKALE~1\Temp\is-L0KIS.tmp\SpywareTerminatorSetup.tmp
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = **go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = **go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = **go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page **go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BullGuard] "C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\bullguard.exe" -boot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [myizzo] RUNDLL32.EXE C:\WINDOWS\system32\msnjgrac.dll,w
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BullGuard] "C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\bullguard.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [googletalk] "C:\Programme\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1085031214-1958367476-725345543-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrator')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) ***go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - ***.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1259643722046
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - ***fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: BullGuard LiveUpdate (BgLiveSvc) - BullGuard Ltd. - C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\BullGuardUpdate.exe
O23 - Service: BGRaSvc - BullGuard Ltd. - C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\support\bgrasvc.exe
O23 - Service: BullGuard Gaming Service (BsGaming) - BullGuard Software - C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\BsGaming.exe
O23 - Service: COM+-Systemanwendung (COMSysApp) - Unknown owner - C:\WINDOWS\System32\dllhost.exe (file missing)
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)
O23 - Service: MS Software Shadow Copy Provider (SwPrv) - Unknown owner - C:\WINDOWS\System32\dllhost.exe (file missing)

--
End of file - 6831 bytes
MfG
__________________

Alt 02.12.2009, 06:14   #4
kleinemausi
 
Trojaner/ Maleware/ falscher DNS Server Eintrag - Standard

Trojaner/ Maleware/ falscher DNS Server Eintrag



Guten Morgen nochmal

Werde jetzt Malwarebytes starten (nach erfolgreichem download) und dann die anderen nochmal scannen lassen.

Komisch ist aber auch; Ich habe 3 Dateien im Papierkorb auf d. Desktop. Ordneroption besagt versteckte Datein sind sichtbar. Diese 3 Dateien aber nicht. Beim Versuch den Papierkorb zu leeren kommt folgende Meldung:
Dc12 kann nicht gelöscht werden ... stellen sie sicher das der datenträger nicht voll ist oder die datei gerade verwendet wird .. (so ähnlich.. )

Bitte! Ich wäre echt ganz arg dankbar wenn sich jemand meine logs mal anschauen könnte und vielleicht weiß was zu tun ist Wie schon geschrieben, System ist ganz neu aufgesetzt un formatiert
MfG

Alt 02.12.2009, 06:31   #5
Chris4You
 
Trojaner/ Maleware/ falscher DNS Server Eintrag - Standard

Trojaner/ Maleware/ falscher DNS Server Eintrag



Hi,

moment...

Es wird ein MBR-Rootkit gemeldet...

Zusätzlich: MBR-Rootkitscanner
Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:
Zitat:
D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

Here we go:
Aus dem HJ-Log kommt noch das hier raus:

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\system32\msnjgrac.dll
C:\Dokumente und Einstellungen\***\Desktop\SpywareTerminatorSetup.exe
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|myizzo
 
Files to delete:
C:\WINDOWS\system32\msnjgrac.dll
C:\DOKUME~1\***~1\LOKALE~1\Temp\is-L0KIS.tmp\SpywareTerminatorSetup.tmp

Folders to delete:
C:\DOKUME~1\***~1\LOKALE~1\Temp
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
ATTFilter
O4 - HKLM\..\Run: [myizzo] RUNDLL32.EXE C:\WINDOWS\system32\msnjgrac.dll,w
         
Versuche dann noch mal Combofix, benenne Ihn bereits im Downloaddialog auf z.B. test.exe um (ev. abgesicherter Modus mit Netzwerkunterstützung)...
Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.

Chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Geändert von Chris4You (02.12.2009 um 06:45 Uhr)

Alt 02.12.2009, 06:46   #6
kleinemausi
 
Trojaner/ Maleware/ falscher DNS Server Eintrag - Standard

Trojaner/ Maleware/ falscher DNS Server Eintrag



Morgen
und danke!

Hat geklappt mit GMER bis jetzt. Hier die Log:

Zitat:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x88c24020
NDIS: NVIDIA nForce 10/100/1000 Mbps Ethernet -> SendCompleteHandler -> 0x88c608d0
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x025429800
malicious code @ sector 0x025429803 !
PE file found in sector at 0x025429819 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
Jetzt Verknüpfung erstellen und mit Startparameter starten o. per Konsole oder ganz anders... ?
Grüße

Alt 02.12.2009, 06:58   #7
Chris4You
 
Trojaner/ Maleware/ falscher DNS Server Eintrag - Standard

Trojaner/ Maleware/ falscher DNS Server Eintrag



Hi,

bitte den Rest vom Posting (s. oben) ebenfalls noch abarbeiten...

Start->Ausführen cmd eingeben.
Dann in das Verzeichnis wo Du die mbr.exe abgelegt hast hinnavigieren (oder vorher die EXE in ein geeignetes Verzeichnis kopieren), dann wie angegeben mbr -f eingeben...

Ein ACPI-Treiber, das wird lustig, unbedingt Combofix (wäre das Beste) oder GMER laufen lassen ev. verdacht auf TDSS V3...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 02.12.2009, 07:16   #8
Chris4You
 
Trojaner/ Maleware/ falscher DNS Server Eintrag - Standard

Trojaner/ Maleware/ falscher DNS Server Eintrag



Hi,

wa mir zusätzlich Sorgen macht, bei den Meldungen von Bullgard sind jede Menge Windowsfiles enthalten, das sieht nach einem Fileinfector (Sality) aus,
dann muss der Rechner platt gemacht werden...

Meldet MAM (AntiMaleWareBytes) schon was...

Für den Fileinfector Dr. Web/Cureit:
Cureit
http://www.trojaner-board.de/59299-a...eb-cureit.html

chris
Ps.: Es ist zwar noch nicht Ostern, aber ich finde Sohnemann sollte lange Ohren bekommen ;o)
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 02.12.2009, 07:29   #9
kleinemausi
 
Trojaner/ Maleware/ falscher DNS Server Eintrag - Standard

Trojaner/ Maleware/ falscher DNS Server Eintrag



Virustotal klappt nicht. Egal wie, ich kann die Seite nicht aufrufen

Bei Neustart hatte ich unzählige Prozesse (svchost, av_md, reader_s, 7.. tmp.exe)

Avenger und Hijack Logs hier:

Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\msnjgrac.dll" deleted successfully.

Error: could not open file "C:\DOKUME~1\***~1\LOKALE~1\Temp\is-L0KIS.tmp\SpywareTerminatorSetup.tmp"
Deletion of file "C:\DOKUME~1\***~1\LOKALE~1\Temp\is-L0KIS.tmp\SpywareTerminatorSetup.tmp" failed!
Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID)
--> an object cannot have this name


Error: could not open folder "C:\DOKUME~1\***~1\LOKALE~1\Temp"
Deletion of folder "C:\DOKUME~1\***~1\LOKALE~1\Temp" failed!
Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID)
--> an object cannot have this name

Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|myizzo" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
warte ich habe die sternchen nicht weg gemacht, also nochmal avenger + die anderen

Hier erstmal die HJTlog:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:57:49, on 02.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\BullGuardUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [19163] C:\WINDOWS\system32\7.tmp.exe
O4 - HKLM\..\Run: [av_md] C:\WINDOWS\system32\av_md.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\RunOnce: [Cleanup] C:\cleanup.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BullGuard] "C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\bullguard.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [googletalk] "C:\Programme\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [av_md] C:\Dokumente und Einstellungen\**\av_md.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [av_md] C:\Dokumente und Einstellungen\**\av_md.exe (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1259643722046
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: BullGuard LiveUpdate (BgLiveSvc) - BullGuard Ltd. - C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\BullGuardUpdate.exe
O23 - Service: BGRaSvc - BullGuard Ltd. - C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\support\bgrasvc.exe
O23 - Service: BullGuard Gaming Service (BsGaming) - BullGuard Software - C:\Programme\BullGuard Ltd\BullGuard Gamer's Edition\BsGaming.exe
O23 - Service: COM+-Systemanwendung (COMSysApp) - Unknown owner - C:\WINDOWS\System32\dllhost.exe (file missing)
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)
O23 - Service: MS Software Shadow Copy Provider (SwPrv) - Unknown owner - C:\WINDOWS\System32\dllhost.exe (file missing)

--
End of file - 5996 bytes
         
Files fixen ist nicht möglich, bekomme dann sofort ganz viele neue svchoste.exe die eine Auslatung von 100% verursachen. Mit Mühe und Not habe ich die im Taskmanager beendet

Code:
ATTFilter
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, h**p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x88c25020
NDIS: NVIDIA nForce 10/100/1000 Mbps Ethernet  -> SendCompleteHandler -> 0x88c618d0
Warning: possible MBR rootkit infection !
user & kernel MBR OK 
copy of MBR has been found in sector 0x025429800 
malicious code @ sector 0x025429803 !
PE file found in sector at 0x025429819 !
Use "Recovery Console" command "fixmbr" to clear infection !
         
Und jetzt versuche ich auch nochmal GMER und oder combofix drauf zu bekommen.
Ist es eigentlich richtig, das Rootkits nich agieren können, wenn man etwas von CD aus starten? Wäre dies eine Möglichkeit Combofix drauf zu bekommen?

Alt 02.12.2009, 07:48   #10
Chris4You
 
Trojaner/ Maleware/ falscher DNS Server Eintrag - Standard

Trojaner/ Maleware/ falscher DNS Server Eintrag



Hi,

habe mir gerade einen Kaffee eingeworfen...

Ja, von CD booten hindert die netten Tierchen vom Starten...
Wenn CF bzw. Gmer nicht klappt (was hat Antimalewarebytes gemeldet), dann basteln wir uns an einem sauberen Rechner eine Boot-CD (hast du eine XP-Boot-CD?)

Wenn Du aber erst kürzlich den Rechner neu aufgesetzt (s. http://www.trojaner-board.de/51262-a...sicherung.html) hast, was hindert Dich daran es noch mal zu tun (bevor wir uns hier den Wolf scannen)?

Wichtig dabei ist, das die komplette Festplatte wirklich formatiert wird und der Bootsector neu geschrieben wird. Bevor du dann online gehst, die DNS-Einstellungen kontrollieren (nicht das Du gleich wieder auf einer verseuchten Seite landest...

BootCd erstellen:
Antivir, Rescue-CD
http://www.avira.de/de/support/support_downloads.html
Dort bitte das Rescue System sowie das update
dazu runterladen. Beim Start der Anwendung leere CD in den Brenner,
CD brennen lassen. Zweite CD brennen mit dem ausgepackten Update.
Von CD booten (Einstellung im BIOS vornehmen)...
http://www.pcwelt.de/start/sicherhei...s/news/149200/

Boote aber zuerst von der XP-CD in die Rettungskonsole und führe dort dann fixmbr aus (wie von GMER empfohlen).

Dann XP-CD raus, Avira-CD rein, von CD booten und avira scannen lassen...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 03.12.2009, 02:14   #11
kleinemausi
 
Trojaner/ Maleware/ falscher DNS Server Eintrag - Standard

Trojaner/ Maleware/ falscher DNS Server Eintrag



Hallo,
danke für Deine Hilfe
ich habe jetzt das System wieder neu aufgesetzt, gab keine andere Möglichkeit. Da egal welches Programm ich geöffnet habe (Malwarebyte, Bullguard etc) bekam ich dann sofort 3 XXXordner auf dem Desktop.

Also alles platt gemacht und den mit infizierten USB Stick gleich mitentsorgt.
Nun habe ich alle meine wichtigen Dateien (Bilder usw) auf einer externen Festplatte und bin mir nicht sicher ob diese vielleicht auch infinziert ist.
Habe das System ja jetzt innerhalb von 3Tagen 2mal neu aufgesetzt.
Wie komme ich jetzt sicher an meine Dateien von der externen Platte ran?

achja.. dem Sohnemann wurden erstmal die Löffel lang gezogen, natürlich nur wörtlich und er hat zugegeben irgend etwas gedownloadet zu haben da er zu faul war auf sein zimmer hoch zu gehen das soll mal einer verstehen. Sicherheitshalber habe ich alle PCs im Netzwerk neu aufgesetzt.

DANKE nochmal und eine schöne Woche inklusive Wochenende wünsche ich

grüße

Alt 03.12.2009, 04:38   #12
kleinemausi
 
Trojaner/ Maleware/ falscher DNS Server Eintrag - Standard

Trojaner/ Maleware/ falscher DNS Server Eintrag



War wohl nichts

ES ist wieder da



Wie schon geschrieben, System neu aufgesetzt. Neu
formatiert, alle Partitionen! Inklusive Speicher der Festplatte neu zugeteilt.

Also ich habe folgendes der Reihe nach gemacht:
- Windows XP neu drauf gemacht von Original CD
- Servicepack 2 von CD installiert
- Motherboardtreiber von CD + AcrobatReader
- Windowshomepage restlichen Updates gezogen
- Treiber Nvidia von d. Nvidia Homepage
- Directx von Chip.de
- Mediaplayer 11 microsoft.com
- Windows live von original Homepage
- alle Google Dinge von Google.com
- Malwarebytes + HJT von Links aus diesem Forum
- 2 Programme von Original CDs installiert

Dann wollte ich Bullguard wieder downloaden und erneut
registrieren und konnte den Download nicht ausführen.
Weitere downloads wie combofix und all die anderen sind auch nicht mehr möglich.
Hatte plötzlich wieder diese 3 xxxOrdner auf dem Desktop

Meine externe Festplatte wurde nicht angeschlossen und auch kein USB-Stick oder sonstiges!
Bis Dato ist zum Glück nur dieser PC wieder am Netzwerk, die anderen noch nicht.

Ich bin jetzt echt ratlos...

So jetzt auch erstmal ein Kaffee für mich, nach dem Schock am frühen Morgen

Und hier die Logs:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:17:09, on 03.12.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\fonts\services.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Google\Google Talk Plugin\googletalkplugin.exe
C:\WINDOWS\system32\opeia.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\lsm32.sys
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [10228] C:\WINDOWS\system32\EB.tmp.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [wgdmpc] RUNDLL32.EXE C:\WINDOWS\system32\mscowgxj.dll,w
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [googletalk] "C:\Programme\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h**p://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5615 bytes
         
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3282
Windows 5.1.2600 Service Pack 2

03.12.2009 04:55:01
mbam-log-2009-12-03 (04-55-01).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 162034
Laufzeit: 16 minute(s), 8 second(s)

Infizierte Speicherprozesse: 8
Infizierte Speichermodule: 4
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 22
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 29

Infizierte Speicherprozesse:
C:\WINDOWS\system32\lsm32.sys (Backdoor.Bot) -> Unloaded process successfully.
C:\WINDOWS\Temp\VRTE4.tmp (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\Temp\BNF1.tmp (Rootkit.Agent) -> Unloaded process successfully.
C:\WINDOWS\system32\EF.tmp (Trojan.Downloader) -> Unloaded process successfully.
C:\WINDOWS\system32\reader_s.exe (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\Fonts\services.exe (Worm.Archive) -> Unloaded process successfully.
C:\WINDOWS\system32\FastNetSrv.exe (Backdoor.Bot) -> Unloaded process successfully.
C:\WINDOWS\system32\av_md.exe (Trojan.Dropper) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\WINDOWS\system32\BtwSrv.dll (Backdoor.Bot) -> Delete on reboot.
C:\WINDOWS\system32\MSWINSCK.OCX (Worm.Nyxem) -> Delete on reboot.
C:\WINDOWS\system32\curslib.dll (Spyware.Passwords) -> Delete on reboot.
C:\WINDOWS\system32\mscowgxj.dll (Spyware.OnlineGames) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fastnetsrv (Backdoor.Refpron) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BtwSrv (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_BTWSRV (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\protect (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tcpsr (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_FASTNETSRV (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wgdmpc (Spyware.OnlineGames) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\exec (Worm.Archive) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\BuildW (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\FirstInstallFlag (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\i (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Ulrn (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Update (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\UpdateNew (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mBt (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\udfa (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mfa (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\av_md (Trojan.Dropper) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\av_md (Trojan.Dropper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\Protection System (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\BtwSrv.dll (Backdoor.Bot) -> Delete on reboot.
C:\WINDOWS\system32\lsm32.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\VRTE4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PJG2M6T4\abb[1].txt (Trojan.Cutwail) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PJG2M6T4\lo[1].txt (Trojan.Inject) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QZKZSX2X\w[1].bin (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BNF1.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\VRTDF.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\6633,199.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\MSWINSCK.OCX (Worm.Nyxem) -> Delete on reboot.
C:\WINDOWS\system32\curslib.dll (Spyware.Passwords) -> Delete on reboot.
C:\WINDOWS\system32\EA.tmp (Trojan.Inject) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\EF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mscowgxj.dll (Spyware.OnlineGames) -> Delete on reboot.
C:\WINDOWS\system32\wincert.dll (Spyware.Passwords) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\protect.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\irc.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wmdtc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cooper.mine (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\FInstall.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\reader_s.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\reader_s.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\services.exe (Worm.Archive) -> Delete on reboot.
C:\WINDOWS\sc.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\opeia.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\FastNetSrv.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\av_md.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\av_md.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
         

Alt 03.12.2009, 06:59   #13
Chris4You
 
Trojaner/ Maleware/ falscher DNS Server Eintrag - Standard

Trojaner/ Maleware/ falscher DNS Server Eintrag



Hi,

seltsam...
Ist die Festplatte partitioniert? Wenn ja, alles komplett platt machen, Partitionsgrößen ändern, deepformat (nicht quickformat).

Es ist ein Rootkit/Backdoor auf dem Rechner gelandet (lsm32.sys)...

Die CD etc. sind sauber?
Packe MAM von einem sauberen Rechner aus auf CD.
Gibt es Freigaben auf dem Rechner, auf anderen Rechnern?
Es gibt einige nette Sachen, die sich im Netzwerk automatisch verteilen, daher den Rechner erstmal komplett ohne Netzwerkanbindung hochziehen, MAM einspielen und prüfen lassen.
Dann Netzwerk anschließen, nichts runterladen und nach einer weile wieder prüfen...
Schrittweise vom Internet installieren und die runtergeladenen EXEen vor dem installieren prüfen...

Noch was: Beim Formatieren Partitionen anlegen bzw. bereits angelegte Partitionen in der Größe variieren (es gibt (z.B. der Yoyo-Virus) Teile, die sich in geschützte Bereiche am Partitionsende ablegen und die mit Formatieren nicht wegzubringen sind, erst wenn sich die Partionsgröße ändert werden sie "geplättet").

Prüfe die Einstellungen des Routers (falls einer verwendet wird). Einige Arten des DNS-changers knacken das Routerpassword (einfach wenn es das defaultpasswort ist) und ändern die Einstellungen für DNS direkt im Router!

Wenn das alles passt, ist wohl eine der CDs nicht sauber...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 03.12.2009, 07:13   #14
kleinemausi
 
Trojaner/ Maleware/ falscher DNS Server Eintrag - Standard

Trojaner/ Maleware/ falscher DNS Server Eintrag



Guten Morgen Chris,

danke mal wieder für Deine schnelle Antwort :-)

Die Festplatte wurde wieder in 3 Parttionen aufgeteilt
C/D/E und auch anders verteilt.

Router habe ich nicht, nur ein ganz normales Kabeldeutschland Modem.
Und dieser verseuchte PC ist der Einzige PC der seit dem Befall wieder am Netzwerk ist. Zum Glück

Könnte es denn wirklich sein, dass auf z.B. der Original Windows XP CD
etwas drauf ist? Habe diese CD aber schon Jahrelang, die anderen CDs sind jünger aber es lief ja vorher alles ohne Befall (Treiber, 2 Programme f.d. Arbeit).

Das mit dem Programm auf Cd werde ich heute versuchen, hoffentlich klappt das.

Achso.. eine komische exe, vermute die ist böse und aktiv, nennt sich
sdra64.exe sitzt im System32.. lässt sich nicht löschen/entfernen auch nicht mit Malwarebytes.
Wie bekomme ich dieses Ding weg oder ruhig gestellt?

grüße

Alt 03.12.2009, 07:32   #15
Chris4You
 
Trojaner/ Maleware/ falscher DNS Server Eintrag - Standard

Trojaner/ Maleware/ falscher DNS Server Eintrag



Hi,

prüfe mal ob der Pfad zur sdra64.exe stimmt (s.u.), ggf. im script anpassen:

Nehme den Rechner nach Download von GMER und Avenger vom Netzt...
Erst zum posten der Logs wieder kurz dran gehen...

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|10228
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Regedit32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|wgdmpc
 
Files to delete:
C:\WINDOWS\fonts\services.exe
C:\WINDOWS\system32\opeia.exe
C:\WINDOWS\system32\lsm32.sys
C:\WINDOWS\system32\EB.tmp.exe
C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\system32\mscowgxj.dll
C:\WINXP\system32\sdra64.exe
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
ATTFilter
O4 - HKLM\..\Run: [10228] C:\WINDOWS\system32\EB.tmp.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [wgdmpc] RUNDLL32.EXE C:\WINDOWS\system32\mscowgxj.dll,w
         
Lass unbedingt GMER laufen, log posten...

chris
Ps.: In mir keimt der Verdacht, das eine der Webpages die Du besuchst infiziert ist...
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu Trojaner/ Maleware/ falscher DNS Server Eintrag
abgesicherten modus, adobe, c:\windows\temp, combofix, content.ie5, einstellungen, explorer, hijack, hijackthis, hängen, iexplore.exe, internet explorer, log, logon.exe, malware, mbr rootkit, microsoft, net.exe, neu, neu aufgesetzt, nt.exe, ping.exe, problem, programme, rootkit, server, starten, stick, svchost.exe, system, system neu, temp, trojan.generic., usb, virus, warum, windows\temp, winlogon.exe



Ähnliche Themen: Trojaner/ Maleware/ falscher DNS Server Eintrag


  1. Anhang von falscher Zalando-Email geöffnet, Virus oder Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 18.11.2014 (11)
  2. Datei in falscher Telekom-Rechnung geöffnet - Avir findet Trojaner
    Plagegeister aller Art und deren Bekämpfung - 14.06.2014 (9)
  3. GVU Trojaner und der Eintrag AutoRun im Command Processor
    Log-Analyse und Auswertung - 12.07.2013 (11)
  4. Spyhunter 4, Maleware oder Maleware Security Suite?
    Plagegeister aller Art und deren Bekämpfung - 07.05.2013 (5)
  5. Trojaner Fund oder nur falscher Alarm ?
    Log-Analyse und Auswertung - 13.04.2013 (2)
  6. Trojaner Maleware
    Plagegeister aller Art und deren Bekämpfung - 03.12.2012 (3)
  7. Trojaner C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt: FQ10 Fehler in C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt:
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (19)
  8. Trojaner: RUNDLL32 -Eintrag nicht gefunden - FQ10
    Plagegeister aller Art und deren Bekämpfung - 31.08.2012 (14)
  9. Trojaner nach falscher Deutsche-Post e-mail.
    Log-Analyse und Auswertung - 13.06.2012 (1)
  10. Falscher Bundespolizei-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 02.04.2012 (23)
  11. Wo in der Registry Trojaner-Eintrag löschen?
    Plagegeister aller Art und deren Bekämpfung - 27.01.2010 (7)
  12. Trojaner + Zeitlospacker + Maleware
    Plagegeister aller Art und deren Bekämpfung - 18.01.2010 (11)
  13. Ftp server (Filezilla / Quick n´easy FTP server lite)
    Alles rund um Windows - 10.01.2009 (7)
  14. Trojaner der Run Registry Eintrag immer wieder neu erstellt?
    Log-Analyse und Auswertung - 30.10.2008 (1)
  15. Trojaner,Maleware usw.
    Plagegeister aller Art und deren Bekämpfung - 05.06.2008 (5)
  16. Trojaner mit falscher Wurm Warnung
    Plagegeister aller Art und deren Bekämpfung - 09.09.2005 (1)
  17. Virus? Trojaner? Oder falscher Alarm?
    Plagegeister aller Art und deren Bekämpfung - 14.04.2004 (14)

Zum Thema Trojaner/ Maleware/ falscher DNS Server Eintrag - Guten Morgen, bin ganz neu hier und ich habe ein riesiges problem Mein PC ist absolut verseucht und ich weiß nichtmal warum, da keine spammails geöffnet werden keine komischen downloads - Trojaner/ Maleware/ falscher DNS Server Eintrag...
Archiv
Du betrachtest: Trojaner/ Maleware/ falscher DNS Server Eintrag auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.