Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   w32.Myzor.FK@yf und/oder w32/Trojan.IID? (https://www.trojaner-board.de/30965-w32-myzor-fk-yf-w32-trojan-iid.html)

eikito 28.07.2006 19:14
w32.Myzor.FK@yf und/oder w32/Trojan.IID?
 
Frohen Freitag zusammen :party:

Mein Toshiba-Laptop hat wohl Viren-Fieber, und das bei diesem Wetter!

Folgende Erscheinungen zeigen sich:
- Rechner ist sehr langsam
- Hintergrundfarbe des Desktops ändert sich von ganz allein
- Toshiba-Funktionsbelegungstasten inaktiv

Habe schon Versuche gestartet, anhand Beschreibungen diverser threads, meine Schädlinge selbst los zu werden, seit 3 Tagen ohne Erfolg.

Ich hoffe, es geht nicht nach der alten Grippe-Formel: 3 Tage kommen, 3 Tage bleiben, 3 Tage gehen :balla:

Folgende Hürde lässt mich insbesondere verzweifeln: SmitFraudFix findet wohl Daten, die zu löschen sind, aber das Programm kann dann in Schritt 2 die Daten nicht finden! Der Pfad sei falsch ...

Mein Virenscanner F-Prot Antivirus präsentierte mir eine winprb32.dll als verseucht, habe sie mit Killbox gelöscht, was zur Folge hat, dass der IE nicht mehr auf eine Werbeseite umgeleitet wird, sondern auf die msn-Startseite. Auch komisch, da ich about:blank in der Voreinstellung habe.

Aber das System ist immer noch ultralangsam ...

Ich würde mich sehr freuen, wenn mir jemand bei meinen weiteren Versuchen Hilfe leistet.

Vielen Dank im voraus :huepp:

Hier das hijackThis-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:57:26, on 28.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Toshiba\Desktop\HijackThis.exe

R3 - URLSearchHook: (no name) - {7C7A966D-52A0-762D-F4ED-04D5FE71B8EC} - C:\WINDOWS\System32\jvttiqo.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Tech\Wheel Mouse\5.0\MOUSE32A.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Acrobat Assistant.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = C:\server\Apache2\bin\ApacheMonitor.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update*microsoft*com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148889307825
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update*microsoft*com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1154032518653
O17 - HKLM\System\CCS\Services\Tcpip\..\{8EF0D8EF-0944-4F2D-9CEA-8DE6C549F100}: NameServer = 62.72.64.237,62.72.64.241
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Unknown owner - C:\server\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySQL - Unknown owner - C:\server\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Und hier das logfile von Smitfraudfix:

qSmitFraudFix v2.76

Scan done at 19:56:21,78, 28.07.2006
Run from C:\Dokumente und Einstellungen\Toshiba\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



NOCHMALS VIELEN DANK FÜR SCHNELLE HILFE,

eikito

felix1 28.07.2006 19:48
Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis.

Wenn Du damit fertig bist, erstelle ein Log-File mit HJT und poste es.

eikito 28.07.2006 20:45
Hallo felix1!

Vielen Dank für Deine Tipps, ich habe F-Secure Blacklight und EWIDO drüberlaufen lassen ... allerdings nicht im abgesicherten Modus, fällt mir gerade auf, muss ich dann noch mal?

Hier der Bericht von F-Secure Blacklight:

07/28/06 20:59:51 [Info]: BlackLight Engine 1.0.42 initialized
07/28/06 20:59:51 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/28/06 20:59:51 [Note]: 7019 4
07/28/06 20:59:51 [Note]: 7005 0
07/28/06 20:59:56 [Note]: 7006 0
07/28/06 20:59:56 [Note]: 7011 1904
07/28/06 20:59:56 [Note]: 7026 0
07/28/06 20:59:56 [Note]: 7026 0
07/28/06 21:00:05 [Note]: FSRAW library version 1.7.1019
07/28/06 21:03:23 [Note]: 4013 7036
07/28/06 21:03:23 [Note]: 4020 12531 65536
07/28/06 21:03:23 [Note]: 4018 12531 65536
07/28/06 21:05:07 [Note]: 2000 1006
07/28/06 21:07:51 [Note]: 7007 0

Und hier der Bericht von EWIDO (Schnelldurchlauf der wichtigsten Daten, hat EWIDO so angeboten ...):

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 21:31:24 28.07.2006

+ Scan-Ergebnis:



HKLM\SOFTWARE\Classes\Interface\{06CA2DA3-3A44-4FC7-8FD9-246C0F53407C} -> Adware.CoolWebSearch : Keine Aktion durchgeführt.
C:\WINDOWS\YAXUninst.exe -> Adware.MediaTickets : Keine Aktion durchgeführt.
C:\WINDOWS\system32\YAXUninst.exe -> Adware.MediaTickets : Keine Aktion durchgeführt.
C:\WINDOWS\system32\ddaba.dll -> Adware.Virtumonde : Keine Aktion durchgeführt.
C:\WINDOWS\system32\gebcyvt.dll -> Adware.Virtumonde : Keine Aktion durchgeführt.
C:\WINDOWS\system32\oins.exe -> Dropper.Small : Keine Aktion durchgeführt.
C:\WINDOWS\Downloaded Program Files\UWA6PU_0001_N73M1804NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.f : Keine Aktion durchgeführt.
:mozilla.12:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Profiles\default\0gqp8wls.slt\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.13:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Profiles\default\0gqp8wls.slt\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.55:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.6:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Profiles\default\0gqp8wls.slt\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.8:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Profiles\default\0gqp8wls.slt\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Toshiba\Cookies\toshiba@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.10:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Profiles\default\0gqp8wls.slt\cookies.txt -> TrackingCookie.Advertising : Keine Aktion durchgeführt.
:mozilla.11:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Profiles\default\0gqp8wls.slt\cookies.txt -> TrackingCookie.Advertising : Keine Aktion durchgeführt.
:mozilla.40:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt.
:mozilla.9:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Profiles\default\0gqp8wls.slt\cookies.txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Toshiba\Cookies\toshiba@doubleclick[1].txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt.
:mozilla.14:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Etracker : Keine Aktion durchgeführt.
:mozilla.15:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.16:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.17:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.18:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.19:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.44:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt.
:mozilla.45:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt.
:mozilla.46:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Hitbox : Keine Aktion durchgeführt.
:mozilla.20:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Toshiba\Cookies\toshiba@ivwbox[2].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
:mozilla.14:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Profiles\default\0gqp8wls.slt\cookies.txt -> TrackingCookie.Mediaplex : Keine Aktion durchgeführt.
:mozilla.37:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Mediaplex : Keine Aktion durchgeführt.
:mozilla.15:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Profiles\default\0gqp8wls.slt\cookies.txt -> TrackingCookie.Specificclick : Keine Aktion durchgeführt.
:mozilla.38:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt.
:mozilla.39:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt.
:mozilla.41:C:\Dokumente und Einstellungen\Toshiba\Anwendungsdaten\Mozilla\Firefox\Profiles\czfatl3p.default\cookies.txt -> TrackingCookie.Webtrendslive : Keine Aktion durchgeführt.
::Berichtende

EWIDO hat ca. 30 infizierte Dateien gelöscht/in Quarantäne versetzt. Jetzt mache ich HJT im abgesicherten Modus und poste das Ergebnis gleich nach.

Besten Dank so zwischendurch und bis später ...
eikito

felix1 28.07.2006 20:58
F-Secure ist schon richtig.
Du hast alles löschen lassen, was ewido vorgeschlagen hat?

eikito 28.07.2006 21:29
Hallo felix1,

ich habe alles ratzeputz löschen lassen :zzwhip:
... by the way: schon 2-3 mal meldete sich F-Secure zwischendurch mit der Virenmeldungungen -> ddaba.dll, oins.exe ... alle in system32

Der Rechner reagiert nach wie vor zeitversetzt auf meine Befehle. Dafür wechselt die Hintergrundfarbe nicht mehr. Freu!

Und hier kommt der Bericht von HJT:

Logfile of HijackThis v1.99.1
Scan saved at 21:57:40, on 28.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Toshiba\Desktop\HijackThis.exe

R3 - URLSearchHook: (no name) - {7C7A966D-52A0-762D-F4ED-04D5FE71B8EC} - C:\WINDOWS\System32\jvttiqo.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Tech\Wheel Mouse\5.0\MOUSE32A.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Acrobat Assistant.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = C:\server\Apache2\bin\ApacheMonitor.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - *****update*microsoft*com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148889307825[/url]
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - *****update*microsoft*com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1154032518653[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{8EF0D8EF-0944-4F2D-9CEA-8DE6C549F100}: NameServer = 62.72.64.237,62.72.64.241
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Unknown owner - C:\server\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySQL - Unknown owner - C:\server\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Soll ich nun einen Komplettscan mit F-Secure im abgesicherten Modus machen?

Nach wie vor herzlichen Dank :aplaus: und Gruß!
eikito

felix1 28.07.2006 21:36
Lasse nochmals ewido laufen. Ich will sehen was noch übrig ist.
Vermute mal:
C:\WINDOWS\Downloaded Program Files\UWA6PU_0001_N73M1804NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.f : Keine Aktion durchgeführt
C:\WINDOWS\system32\ddaba.dll -> Adware.Virtumonde : Keine Aktion durchgeführt.
C:\WINDOWS\system32\gebcyvt.dll -> Adware.Virtumonde : Keine Aktion durchgeführt.
C:\WINDOWS\system32\oins.exe -> Dropper.Small : Keine Aktion durchgeführt.

eikito 28.07.2006 21:44
Im abgesicherten Modus? Kpl-Scan oder Schnellscan?

Lieb Dank für Antwort!
eikito

felix1 28.07.2006 21:49
Zitat:
Zitat von eikito
Im abgesicherten Modus? Kpl-Scan oder Schnellscan?

Lieb Dank für Antwort!
eikito
Normalmodus und komplett:blabla:

eikito 28.07.2006 23:25
Guten Morgen Felix1!

Hier ist der Bericht von EWEDO. Das der so kurz ausfällt, hätte ich nu nicht erwartet ...

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 00:17:10 29.07.2006

+ Scan-Ergebnis:



C:\Programme\Common Files\Μicrosoft.NET\uѕerinit.exe -> Adware.PurityScan : Gesäubert.
C:\WINDOWS\system32\ddaba.dll -> Adware.Virtumonde : Gesäubert.
C:\Dokumente und Einstellungen\All Users\Dokumente\webctrl.exe -> Heuristic.Win32.Morphine-Crypted : Gesäubert.
C:\WINDOWS\Downloaded Program Files\UWA6PU_0001_N73M1804NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.f : Mit Backup gesäubert (unter Quarantäne gestellt).


::Berichtende

Vielen Dank für weitere Antwort,
eikito

felix1 28.07.2006 23:31
Gefällt mir eigentlich schon. Zur Vorsicht führe aus:
http://www.trojaner-board.de/showthread.php?t=24192

Das kann dauern. Je nach Grösse der Platten. Lasse den Scan laufen. Das Ergebnis schaue ich mir morgen an.:party:

Edit by Felix
Heute natürlich, irgendwie die Zeit verpasst:confused:

eikito 28.07.2006 23:32
Mach ich ... :daumenhoc

eikito 29.07.2006 04:22
Hallo Felix,

es wird gerade hell draussen und ich knirsch mit den Zähnen: eScan hat mir ein Bericht geschrieben, der 18 MB groß ist :eek:

Das kann ich beileibe nicht posten, noch nicht mal öffnen. Meine nächtlichen Beobachtungen ergaben aber, dass eScan keine Viren etc. gefunden hat. EWIDO meldet aber nach wie vor ständig eine ddaba.dll mit Adware.Virtumonde.

Bin :sleepy: ... ich lass morgen nochmal die Maschine drübermähen.

Frohes Frühstück!
eikito

felix1 29.07.2006 09:34
Moin, moin:D

Zum escan: Ich benötige nicht alle Dateien. Lese mal bei [5] der Anleitung nach.
Lade Dir herunter Vundofix, und führe es aus, poste danach den Report.

eikito 29.07.2006 17:15
Tag Felix,

nicht wirklich ausgeschlafen, aber totzdem gut gelaunt ob Deiner "Patenschaft" :D habe ich hoffentlich die richtigen Schritte mit VundoFix unternommen. Hier erst einmal die meines Erachtens nach wichtigen Zeilen von des eScan-Berichts (alles, was mit virus betitelt war):

File C:\WINDOWS\System32\ddaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.cq". Action Taken: No Action Taken.
File C:\WINDOWS\System32\ddaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.cq". Action Taken: No Action Taken.
File C:\WINDOWS\System32\ddaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.cq". Action Taken: No Action Taken.
File C:\!KillBox\ddaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.cq". Action Taken: No Action Taken.
File C:\!KillBox\ddaba.dll( 1) tagged as "not-a-virus:AdWare.Win32.Virtumonde.cq". Action Taken: No Action Taken.
File C:\WINDOWS\system32\ddaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.cq". Action Taken: No Action Taken.

Dem habe ich entnommen ,das der Plagegeist ddaba.dll heißt. So habe ich dann, wie einigen posts zu entnehmen war, folgendes mit Vundofix angestellt:

VundoFix V2.15 by Atri
--------------------------------------------------------------------------------------

Listing files contained in the vundofix folder.
--------------------------------------------------------------------------------------

killvundo.bat
process.exe
ReadMe.txt
vundo.reg
vundofix.txt

--------------------------------------------------------------------------------------

Filepaths entered
--------------------------------------------------------------------------------------

The filepath entered was C:\WINDOWS\SYSTEM32\ddaba.dll

The second filepath entered was abadd.*

--------------------------------------------------------------------------------------

Log from Process
--------------------------------------------------------------------------------------


Killing PID 124 'smss.exe'

Killing PID 740 'explorer.exe'
Killing PID 740 'explorer.exe'
Killing PID 740 'explorer.exe'
Killing PID 740 'explorer.exe'


Killing PID 192 'winlogon.exe'
Killing PID 192 'winlogon.exe'
--------------------------------------------------------------------------------------

C:\WINDOWS\SYSTEM32\ddaba.dll Deleted sucessfully.
abadd.* Deleted sucessfully.

Fixing Registry
--------------------------------------------------------------------------------------


Hoffe, dass das nicht falsch war. Jefdenfalls ist die ddaba.dll nu weg. Leider lahmt mein PC nach wie vor ... :confused: Hoffentlich hast Du noch eine Ahnung.

Ich geh erstmal 2-3 Stunden an die frische Luft :rolleyes:

So long, frohen Samstag,
eikito

felix1 29.07.2006 19:07
War schon o.K. Poste ein neues Log von HJT. Mitlerweile ist so viel verändert, dass das alte wohl nicht mehr gültig sein wird.


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:31 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129