Trojan.Vundo und Trojan Horse
 

Hi Leute,

habe die beiden obengenannten Trojaner auf dem Rechner! Habe schon ein wenig gegoogelt, aber leider keine Anleitung gefunden, wie man die beiden Trojaner ohne Norton oder das Posten von Logfiles entfernen kann...insofern poste ich hier einfach mal die meine Hijack logfile, in der Hoffnung, dass mir jemand helfen kann!

Logfile of HijackThis v1.99.1
Scan saved at 3:50:39 PM, on 10/26/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Portrait Displays\HP Display Assistant\DTSRVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\HPQ\SHARED\HPQWMI.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Portrait Displays\HP Display Assistant\DTHtml.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Norton Security Scan\Nss.exe
C:\Sonstiges\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = WEB.DE - E-Mail - DSL - Modem - Shopping - Entertainment
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {E98AC0E0-843B-487A-ACD4-9CD42F8CBC8A} - C:\WINDOWS\system32\tuvsp.dll (file missing)
O2 - BHO: (no name) - {EA46D6B5-32BD-4DBE-BAA3-2E50BDC33FBf} - C:\WINDOWS\system32\bywrxudt.dll (file missing)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [eabconfg.cpl] "C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe" /Start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] "rundll32.exe" bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DT Task] "C:\Programme\Portrait Displays\HP Display Assistant\DTHtml.exe" -startup_folder
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Poker\UltimateBet\UltimateBet.exe
O9 - Extra 'Tools' menuitem: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Poker\UltimateBet\UltimateBet.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab56986.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Portrait Displays\HP Display Assistant\DTSRVC.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett Packard Company - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PostgreSQL Database Server 8.0 (pgsql-8.0) - PostgreSQL Global Development Group - C:\poker\PostgreSQL\bin\pg_ctl.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Hoffe, ich habe es ins richtige Forum gepostet. Schon mal vielen Dank im vorraus!

Hallo

wo wurde den was gefunden (Pfad/Dateiname)?

Mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.

Dann führe bitte diese Anleitungen durch

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Das Ergebnis der Filelist kannst du in Codetags posten das ist die Raute in der Antwortbox -->#

MFG

Hi,

habe die Dateien wieder sichtbar gemacht. Habe ebenfalls das Vundo Prog runtergeladen und gestartet, allerdings findet es keine gefährdete Datei, obwohl mir eine Norton Testversion sagt, ich hätte den Trojaner drauf(löchen geht nicht mit der Norton Version, da es nur sehr eingeschränkte Fähigkeiten hat).

Hier die Ausgabe von dem 2.Programm:

Script execution time was exceeded on script "C:\ComboFix\osid.vbs".
Script execution was terminated.
ausgeführt von:: C:\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\TMMG\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\RSMPD9AP\www.broadcaster.com
C:\Dokumente und Einstellungen\TMMG\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\RSMPD9AP\www.broadcaster.com\played_list.sol
C:\Dokumente und Einstellungen\TMMG\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\RSMPD9AP\www.broadcaster.com\video_queue.sol
C:\Dokumente und Einstellungen\TMMG\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com
C:\Dokumente und Einstellungen\TMMG\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-26 bis 2007-10-26 ))))))))))))))))))))))))))))))
.

2007-10-26 16:37 1,393,213 --a------ C:\ComboFix.exe
2007-10-26 16:33 <DIR> d-------- C:\VundoFix Backups
2007-10-26 16:32 115,200 --a------ C:\VundoFix.exe
2007-10-19 15:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-10-14 22:00 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-10-14 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\TMMG\Contacts
2007-10-13 03:30 <DIR> d-------- C:\WINDOWS\pss
2007-10-12 13:12 <DIR> d-------- C:\Dokumente und Einstellungen\TMMG\Anwendungsdaten\TeamViewer
2007-10-12 13:11 <DIR> d-------- C:\Programme\TeamViewer3
2007-10-12 12:36 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2007-10-12 12:36 21,504 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll
2007-10-12 12:36 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2007-10-12 12:36 14,848 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys
2007-10-10 22:50 <DIR> d-------- C:\Programme\Norton Security Scan

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-23 21:36 --------- d-----w C:\Programme\PartyGaming
2007-10-21 22:46 --------- d-----w C:\Programme\PeerGuardian2
2007-10-16 22:58 --------- d-----w C:\Programme\PokerStars
2007-10-16 16:25 --------- d-----w C:\Programme\ShotOnline
2007-10-14 20:00 --------- d-----w C:\Programme\MSN Messenger
2007-10-11 01:17 --------- d-----w C:\Dokumente und Einstellungen\TMMG\Anwendungsdaten\Microgaming
2007-10-09 16:09 --------- d-----w C:\Dokumente und Einstellungen\TMMG\Anwendungsdaten\Hamachi
2007-10-09 12:15 --------- d-----w C:\Programme\mIRC
2007-09-19 15:06 --------- d-----w C:\Programme\Valve
2007-09-19 15:02 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-09-17 20:22 10,578 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-07-27 22:07 783,224 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-07-27 21:57 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2006-03-15 14:59 17,704 ----a-w C:\Dokumente und Einstellungen\TMMG\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E98AC0E0-843B-487A-ACD4-9CD42F8CBC8A}]
C:\WINDOWS\system32\tuvsp.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EA46D6B5-32BD-4DBE-BAA3-2E50BDC33FBf}]
C:\WINDOWS\system32\bywrxudt.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-27 02:15]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-27 02:15]
"Cpqset"="C:\Programme\HPQ\Default Settings\cpqset.exe" [2004-04-30 11:32]
"eabconfg.cpl"="C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe" [2004-04-30 14:50]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 04:10]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-04-27 02:56]
"BluetoothAuthenticationAgent"="rundll32.exe" [2004-08-04 00:58 C:\WINDOWS\system32\rundll32.exe]
"DT Task"="C:\Programme\Portrait Displays\HP Display Assistant\DTHtml.exe" [2006-10-13 16:56]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-02-07 08:39]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-02-07 08:36]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-02-07 08:40]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 02:11]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

S3 V0090VID;Creative WebCam Vista Plus;C:\WINDOWS\system32\DRIVERS\V0090Vid.sys

*Newly Created Service* - CATCHME
*Newly Created Service* - ERASERUTILDRV10733
.
Inhalt des "geplante Tasks" Ordners
"2007-10-26 13:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job"
.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-26 16:42:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Programme\HPQ\Default Settings\cpqset.exe??????????????d????|?????? ???B???????????????B????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-26 16:44:20
.
--- E O F ---

Filelist.bat:

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 3410-149A

Verzeichnis von C:\

10/26/2007 04:51 PM 2,079 VundoFix.txt
10/26/2007 04:44 PM 6,536 ComboFix.txt
10/26/2007 04:37 PM 1,393,213 ComboFix.exe
10/26/2007 04:32 PM 115,200 VundoFix.exe
10/26/2007 02:51 AM 501,731,328 hiberfil.sys
10/26/2007 02:51 AM 754,974,720 pagefile.sys
10/13/2007 10:55 PM 73,676,196 BCP.rar
10/13/2007 03:33 AM 211 boot.ini
10/07/2007 07:41 PM 4,808,620 Rihanna - Don't Stop the Music [Techno Version].mp3
10/07/2007 07:39 PM 4,579,328 Rihanna - Please Dont Stop The Music (Official Dance Remix).mp3
09/22/2007 09:10 PM 6,944,896 Rihanna - Good Girl Gone Bad - 03 - Don't Stop The Music.mp3
05/07/2007 05:34 PM 164 install.dat
05/07/2007 05:20 PM 404 avenger.txt
05/07/2007 05:07 PM 5,917 hijackthis.log
04/16/2007 12:39 AM 0 output.txt
04/11/2007 06:16 PM 4,849,664 2 4 Grooves - The Way I Do.mp3
04/11/2007 06:16 PM 10,268,672 Twisted Society Feat. Vernon J Price - Killer.mp3
04/11/2007 06:16 PM 4,300,800 Pate No 1 - Shining Star.mp3
04/11/2007 06:16 PM 4,546,560 Housecrushers - Touch Me.mp3
04/11/2007 06:16 PM 3,416,064 Fedde Le Grand - Put Your Hands Up For Detroit.mp3
04/11/2007 06:15 PM 4,941,824 Disco Deejays - Upside Down.mp3
04/11/2007 06:15 PM 12,210,176 Pip - Still In Love.mp3
04/11/2007 06:15 PM 5,849,088 Crew 7 - Eye Of The Tiger.mp3
04/11/2007 06:15 PM 4,732,928 Camille Jones - The Creeps.mp3
04/11/2007 06:15 PM 4,657,152 Eddie Thoneick Feat. Berget Lewis - Deeper Love.mp3
04/11/2007 06:15 PM 4,976,640 Peter Luts And Dominico - What A Feeling.mp3
04/11/2007 06:14 PM 5,228,544 Phunk Foundation - Let It Go.mp3
04/11/2007 06:14 PM 4,777,984 Phunk A Delic - Rockin.mp3
03/16/2007 10:25 PM 8,888 debug.txt
12/14/2006 05:05 AM 132 ICSYSINF.log
10/09/2006 05:53 AM 6,433 WCThumb.tmb
03/09/2006 07:37 PM 5,182 CtDrvStp.log
03/09/2006 07:37 PM 97 CtDrvIns.log
11/03/2005 03:49 AM 90 chpst.log
11/03/2005 03:48 AM 22,002 sunjava.log
11/03/2005 03:47 AM 183 setup.log
11/03/2005 03:36 AM 187 syntp.log
11/03/2005 03:00 AM 0 MSDOS.SYS
11/03/2005 03:00 AM 0 IO.SYS
11/03/2005 03:00 AM 0 CONFIG.SYS
11/03/2005 03:00 AM 0 AUTOEXEC.BAT
08/03/2004 10:59 PM 251,184 ntldr
08/03/2004 10:38 PM 47,564 NTDETECT.COM
08/23/2001 12:00 PM 4,952 bootfont.bin
44 Datei(en) 1,423,341,802 Bytes
0 Verzeichnis(se), 5,007,593,472 Bytes frei

Wenn ich alle untenaufgeführten Verzeichnisse posten soll(filelist.bat), dann müsste ich sehr sehr sehr viele Postings machen, aufgrund der Zeichenbegrenzung! Soll ich wirklich die anderen auch noch posten?

Hallo

mich selbst zitier
:confused:

Na klar, wie gesagt du kannst es als Codetags posten, aber bitte nur die letzten 30 Tage:rolleyes:
[CODE]
Logfile
[/CODE ]<--ohne Leerzeichen oder die Raute # in der Antwortbox anklicken.

MFG

Das Programm zeigt mir leider nur an, dass die beiden Trojaner gefunden worden, jedoch nicht wo. Dazu müsse man dann wohl die Vollversion kaufen...


Hier die logfile:

Hallo

Dieses ............:koch: Programm.

Starte bitte Hijackthis mit der Option - do a system scan only - und hake diese Einträge an :
dann klicke auf - fix checked - und beende Hijackthis.

Lade dir den Ccleaner runter -> CCleaner Download

- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System
- lass auch die fehler in der registry beheben --> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

MFG

Hey digger,

schon mal vielen dank für die mühe. machst 'nen riesen job!

habe das ganze mit hijackthis soweit gemacht und silentrunners auch ausgeführt. hier ist das logfile dazu:

"Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"Cpqset" = "C:\Programme\HPQ\Default Settings\cpqset.exe" [null data]
"eabconfg.cpl" = ""C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe" /Start" ["Hewlett-Packard "]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" ["ALWIL Software"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"BluetoothAuthenticationAgent" = ""rundll32.exe" bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"DT Task" = ""C:\Programme\Portrait Displays\HP Display Assistant\DTHtml.exe" -startup_folder" ["Portrait Displays, Inc"]
"igfxtray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"igfxhkcmd" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"igfxpers" = "C:\WINDOWS\system32\igfxpers.exe" ["Intel Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_09\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{B8323370-FF27-11D2-97B6-204C4F4F5020}" = "SmartFTP Shell Extension DLL"
-> {HKLM...CLSID} = "SmartFTP Shell Extension DLL"
\InProcServer32\(Default) = "C:\Programme\SmartFTP Client 2.0\smarthook.dll" ["SmartFTP"]
"{654D0431-C930-43C4-B8DA-9AA01BA5B486}" = "PDI GUI Engine COM Obj"
-> {HKLM...CLSID} = "PDI GUI Engine COM Obj"
\InProcServer32\(Default) = "C:\Programme\Portrait Displays\HP Display Assistant\HtmlEngine.dll" ["Portrait Displays, Inc"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> igfxcui\DLLName = "igfxdev.dll" ["Intel Corporation"]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll" ["Nero AG"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
TzShell\(Default) = "{B38FE8E9-5DFC-4D58-8459-1E3AC5165E34}"
-> {HKLM...CLSID} = "TzShell"
\InProcServer32\(Default) = "C:\Programme\TUGZip\TzShell.dll" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
TzShell\(Default) = "{B38FE8E9-5DFC-4D58-8459-1E3AC5165E34}"
-> {HKLM...CLSID} = "TzShell"
\InProcServer32\(Default) = "C:\Programme\TUGZip\TzShell.dll" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Desktop\Landschaften_078.jpg"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\TMMG\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Scheduled Tasks:
------------------------

"Norton Security Scan" -> launches: "C:\Programme\Norton Security Scan\Nss.exe /scan-full /scheduled" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 20
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.5.0_09"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_09\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_09"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll" ["Sun Microsystems, Inc."]

{94148DB5-B42D-4915-95DA-2CBB4F7095BF}\
"ButtonText" = "UltimateBet"
"MenuText" = "UltimateBet"
"Exec" = "C:\Poker\UltimateBet\UltimateBet.exe" ["UltimateBet"]

{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\
"ButtonText" = "PartyPoker.com"
"MenuText" = "PartyPoker.com"
"Exec" = "C:\Programme\PartyGaming\PartyPoker\RunApp.exe" [empty string]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""C:\Programme\Alwil Software\Avast4\ashServ.exe"" ["ALWIL Software"]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Programme\Alwil Software\Avast4\aswUpdSv.exe"" ["ALWIL Software"]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
HP WMI Interface, hpqwmi, "C:\Programme\HPQ\SHARED\HPQWMI.exe" ["Hewlett Packard Company"]
Portrait Displays Display Tune Service, DTSRVC, "C:\Programme\Portrait Displays\HP Display Assistant\DTSRVC.exe" [null data]
PostgreSQL Database Server 8.0, pgsql-8.0, "C:\poker\PostgreSQL\bin\pg_ctl.exe runservice -N "pgsql-8.0" -D "C:\poker\PostgreSQL\data\"" ["PostgreSQL Global Development Group"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


---------- (launch time: 2007-10-27 17:00:03)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 79 seconds, including 18 seconds for message boxes)


Der link für die anleitung hat leider nicht funktioniert...(Anleitung eScan)

Hallo

dann hier nochmal
http://www.trojaner-board.de/42731-escan-anleitung.html
dieser sollte aber funktionieren (getestet ;)).

MFG