Trojaner-Board - smss.exe macht probleme, bitte um hilfe !

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - smss.exe macht probleme, bitte um hilfe ! (https://www.trojaner-board.de/50116-smss-exe-macht-probleme-bitte-um-hilfe.html)

smss.exe macht probleme, bitte um hilfe !

Hallo zusammen,

wie ich schon oft hier im board gelesen habe ist mein problem nicht das erste mal genannt worden, da aber die dort genannten hilfen mir nicht zum erfolg verholfen haben möchte ich nun auch meine hjack log euch senden.

Code:

Logfile of HijackThis v1.99.1

Scan saved at 12:44:20, on 03.03.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\windows\tasks\update.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\DAEMON Tools\daemon.exe

C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe

C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe

C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\explorer.exe

C:\Programme\Winamp\winamp.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\Dokumente und Einstellungen\Christian und Verena\Desktop\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [546d5d2a] rundll32.exe "C:\WINDOWS\system32\ctunrbum.dll",b

O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033

O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: WinApp - {C285CF22-115F-3252-41AC-F686D912C63D} - C:\WINDOWS\system32\clipuser32.dll

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe" /m PifEng.dll (file missing)

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe (file missing)

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

Ich muss dazu sagen das ich den ordner namens Net.... im abgesicherten modus gelöscht habe seitdem war erst mal ruhe doch dann fing es an das der Internet Explorer wie auch Mozilla firefox seiten öffnen mit werbung und unseriösen spyware anbietern mit dem text "Ihr computer ist infiziert laden sie dieses programm ...."

Bitte um eure hilfe weiss nicht mehr weiter.

Danke

Hallo maverikone
Werte mal die Datei C:\WINDOWS\system32\ctunrbum.dll
bei Virustotal aus. Das Ergebnis hier posten.
Dann mal noch einen Scan mit SmitfraudFix
das Log ebenfalls hier posten.

Hallo blow-in danke erst mal für deine hilfe, hier ist der report von

Virus Total:

Code:

AhnLab-V3 2008.2.29.1 2008.03.03 - 

AntiVir 7.6.0.73 2008.03.03 TR/Vundo.Gen 

Authentium 4.93.8 2008.03.02 - 

Avast 4.7.1098.0 2008.03.02 - 

AVG 7.5.0.516 2008.03.03 Lop 

BitDefender 7.2 2008.03.03 Trojan.Vundo.EAH 

CAT-QuickHeal 9.50 2008.03.01 - 

ClamAV 0.92.1 2008.03.03 - 

DrWeb 4.44.0.09170 2008.03.03 - 

eTrust-Vet 31.3.5582 2008.03.03 - 

Ewido 4.0 2008.03.03 - 

FileAdvisor 1 2008.03.03 - 

Fortinet 3.14.0.0 2008.03.03 - 

F-Prot 4.4.2.54 2008.03.02 W32/Virtumonde.G.gen!Eldorado 

F-Secure 6.70.13260.0 2008.03.03 - 

Ikarus T3.1.1.20 2008.03.03 - 

Kaspersky 7.0.0.125 2008.03.03 not-a-virus:AdWare.Win32.Virtumonde.gen 

McAfee 5242 2008.02.29 - 

Microsoft 1.3301 2008.03.03 Trojan:Win32/Vundo.gen!A 

NOD32v2 2917 2008.03.03 - 

Norman 5.80.02 2008.02.29 Vundo.gen59 

Panda 9.0.0.4 2008.03.02 Suspicious file 

Prevx1 V2 2008.03.03 Lop 

Rising 20.34.02.00 2008.03.03 - 

Sophos 4.27.0 2008.03.03 Troj/Virtum-Gen 

Sunbelt 3.0.906.0 2008.02.28 - 

Symantec 10 2008.03.03 - 

TheHacker 6.2.92.231 2008.03.02 - 

VBA32 3.12.6.2 2008.02.27 - 

VirusBuster 4.3.26:9 2008.03.02 Adware.Vundo.Gen!Pac.18 

Webwasher-Gateway 6.6.2 2008.03.03 Trojan.Vundo.Gen

und hier der Report von SmitFruadFix:

Code:

SmitFraudFix v2.300
 

Scan done at 15:24:55,54, 03.03.2008

Run from C:\Dokumente und Einstellungen\Christian und Verena\Desktop\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in normal mode
 

»»»»»»»»»»»»»»»»»»»»»»»» Process
 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\windows\tasks\update.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\DAEMON Tools\daemon.exe

C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe

C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe

C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\Steam\Steam.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe
 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Hi,
ich möchte nicht dazwischen funken, aber weißt du was folgende Datei tut?

Zitat:

c:\windows\tasks\update.exe

Wenn nicht diese bitte auch bei virustotal auswerten lassen.

lg myrtille

Hallo maverikone
Bitte noch die Datei, wie von myrtille beschrieben bei Virustotal überprüfen.
Dann sehen wir weiter. Ich denke aber nicht, dass es etwas schlimmes ist und wir deinen Rechner wieder sauber bekommen.

Hallo blow-in und myrtille,

Hier ist der gewünschte Report :

Code:

AhnLab-V3 2008.3.4.0 2008.03.04 - 

AntiVir 7.6.0.73 2008.03.04 - 

Authentium 4.93.8 2008.03.04 - 

Avast 4.7.1098.0 2008.03.04 - 

AVG 7.5.0.516 2008.03.04 - 

BitDefender 7.2 2008.03.04 - 

CAT-QuickHeal 9.50 2008.03.04 - 

ClamAV 0.92.1 2008.03.04 - 

DrWeb 4.44.0.09170 2008.03.04 - 

eSafe 7.0.15.0 2008.02.28 - 

eTrust-Vet 31.3.5585 2008.03.04 - 

Ewido 4.0 2008.03.04 - 

FileAdvisor 1 2008.03.04 - 

Fortinet 3.14.0.0 2008.03.04 - 

F-Prot 4.4.2.54 2008.03.03 - 

F-Secure 6.70.13260.0 2008.03.04 - 

Ikarus T3.1.1.20 2008.03.04 - 

Kaspersky 7.0.0.125 2008.03.04 - 

McAfee 5243 2008.03.03 - 

Microsoft 1.3301 2008.03.03 - 

NOD32v2 2921 2008.03.04 - 

Norman 5.80.02 2008.03.04 - 

Panda 9.0.0.4 2008.03.03 - 

Prevx1 V2 2008.03.04 - 

Rising 20.34.12.00 2008.03.04 - 

Sophos 4.27.0 2008.03.04 - 

Sunbelt 3.0.906.0 2008.02.28 - 

Symantec 10 2008.03.04 - 

TheHacker 6.2.92.232 2008.03.04 - 

VBA32 3.12.6.2 2008.02.27 - 

VirusBuster 4.3.26:9 2008.03.04 - 

Webwasher-Gateway 6.6.2 2008.03.04 -

Zu der letztgenannten Datei hätte ich noch gerne, ob du sie in dem Verzeichnis siehst? c:\windows\tasks\update.exe und wenn du auf diese Datei gehst, mit der rechten Maustaste und dann Eigenschaften. Was wird gemeldet?
Wenn du sie nicht siehst, mache die versteckten Dateien sichtbar.

Hallo blow-in,

In dem Verzeichnis "c:\windows\tasks" ist die update.exe nicht zu sehen !

Mfg. Maverikone und danke für die Hilfe :)

Hallo nochmal kleiner nachtrag

habe gerade mal unter der Systemsteuerung-Ordneroptionen "Versteckte ordner ausblenden" ausgeschaltet also das ich alle ordner und dateien sehen kann und zusätzlich die option "Geschützte Systemdateien ausblenden" ebenfalls deaktiviert damit ich auch diese einsehen kann.

Kann jedoch immer noch nicht diese update.exe im ordner "c:\windows\tasks" sehen.

Habe einmal zur probe "c:\windows\tasks\update.exe" ausgeführt, es öffnete sich eine CommandConsole oder DOS Fenster, es geschah aber nichts, es blinkte nur der courser oben links.

Vielleicht hilft euch das etwas weiter bei euren bemühungen!?!?!

Mfg. Maverikone

THX

dann sende

c:\windows\tasks\update.exe

mal an avira.
Submit your sample

und bitte

C:\WINDOWS\system32\clipuser32.dll

bei
VirusTotal - Kostenloser online Viren- und Malwarescanner
auswerten lassen und das komplette ergebnis hier posten.

Zitat:

Zitat von maverikone (Beitrag 325868)

In dem Verzeichnis "c:\windows\tasks" ist die update.exe nicht zu sehen

Dann würde es mich interessieren, wie du die Datei bei Virustotal hochgeladen hast. Oder hast du es richtiger Weise gemacht, in dem du den Path eingegeben hast?

Hallo zusammen,

1. zu boston

"c:\windows\tasks\update.exe" habe ich an avira geschickt habe die meldung erhalten das, dass Avira Labor team noch am prüfen ist.

Hier ist der Report zu "C:\WINDOWS\system32\clipuser32.dll"

Code:

AhnLab-V3 2008.3.4.0 2008.03.05 - 

AntiVir 7.6.0.73 2008.03.05 TR/Spy.Agent.259072 

Authentium 4.93.8 2008.03.04 - 

Avast 4.7.1098.0 2008.03.05 - 

AVG 7.5.0.516 2008.03.05 PSW.Generic5.ALJU 

BitDefender 7.2 2008.03.05 - 

CAT-QuickHeal 9.50 2008.03.04 TrojanPSW.Delf.apy 

ClamAV 0.92.1 2008.03.05 - 

DrWeb 4.44.0.09170 2008.03.05 Trojan.PWS.Club 

eSafe 7.0.15.0 2008.02.28 - 

eTrust-Vet 31.3.5589 2008.03.05 - 

Ewido 4.0 2008.03.04 - 

FileAdvisor 1 2008.03.05 - 

Fortinet 3.14.0.0 2008.03.05 - 

F-Prot 4.4.2.54 2008.03.04 W32/Delf.B.gen!Eldorado 

F-Secure 6.70.13260.0 2008.03.05 W32/Delf.BKSK 

Ikarus T3.1.1.20 2008.03.05 BehavesLikeTrojan.ShellObject 

Kaspersky 7.0.0.125 2008.03.05 Trojan-PSW.Win32.Delf.apy 

McAfee 5244 2008.03.04 - 

Microsoft 1.3301 2008.03.05 PWS:Win32/Delf.ALD 

NOD32v2 2923 2008.03.05 probably a variant of Win32/PSW.Delf.AMJ 

Norman 5.80.02 2008.03.04 W32/Delf.BKSK 

Panda 9.0.0.4 2008.03.04 Trj/Delf.AIE 

Prevx1 V2 2008.03.05 Generic.Email.Worm 

Rising 20.34.21.00 2008.03.05 - 

Sophos 4.27.0 2008.03.05 - 

Sunbelt 3.0.906.0 2008.02.28 - 

Symantec 10 2008.03.05 Infostealer 

TheHacker 6.2.92.233 2008.03.04 - 

VBA32 3.12.6.2 2008.03.05 - 

VirusBuster 4.3.26:9 2008.03.04 - 

Webwasher-Gateway 6.6.2 2008.03.05 Trojan.Spy.Agent.259072

2. zu blow-in

Ich habe den Path direkt kopiert also " c:\windows\tasks\update.exe " und bei Virustotal eingefügt !

Mfg Maverik

Hey

hab noch ne frage habe ja jetzt mal wie schon genannt jetzt unter der Systemsteuerung-> Ordneroptionen -> Ansicht alles sichtbar gemacht ... muss ich jetzt noch mal alles scannen lassen oder machen virustotal und SmitFraudfix das automatisch ?

Mfg. Maverik ... Danke

Nein, nochmal scannen ist nicht notwendig. Virustotal, Smitfraudfix sind nicht von den explorer-Einstellungen abhängig und können daher auch so alle Dateien durchsuchen.

Allerdings solltest du die Datei jetzt sehen?

lg myrtille

Ich denke mal, dass du dir hier einen neuen Trojaner eingefangen hast.
clipuser32.dll Was der so alles anstellt weis ich nicht. Auf jeden fall läd er weitere Malware nach.
Wir können es weiter versuchen mit der Bereinigung. Ich kann dir aber keinen Erfolg versprechen.

Hallo myrtille,

Ahh ok danke... ich sehe diese "update.exe" , leider immer noch nicht ... wie gesagt wenn ich sie öffnen möchte öffnet sich ein die CMD und der Courser blinkt nur oben links .

Mfg. Maverik

Hallo blow-in,

Ich glaube ich hab nichts mehr zu verlieren ... also würde ich es gerne mit euch versuchen die bereinigung durchzuführen !

Mfg. Maverik

Nun dann fangen wir mal an. Smitfraudfix entsprechend der Anleitung im abgesicherten Modus und starten, wähle dabei reinigen.
Danach noch dem CCleaner drüber laufen lassen.
Die Bereinigung der Registry mehrmals laufen lassen.
Am Schluss noch einen Onlinescan mit Kaspersky
dann werden wie weiter sehen.
Das Ergebnis von Kaspersky natürlich auch hier mal reinstellen.
Ach so was ich noch vergessen habe. Den Onlinscan musst du mit dem IExplorer von Windows machen. Dabei die Ausführung von ActiveX zulassen. Dein Avira must du dazu ausschalten.

nur ganz kurz:
für dringender als eine bereinigung halte ich im moment
das ändern aller passwörter von einem cleanen rechner aus.
daß die clipuser32.dll in dem bereich wildert, wissen wir ja zumindest.

Hallo zusammen ,

zu boston :

Zitat:

für dringender als eine bereinigung halte ich im moment
das ändern aller passwörter von einem cleanen rechner aus.

Die wichtigsten passwörter habe ich geändert !
Danke das du mich darauf aufmerksam gemacht hast !

zu blow-in :

Habe alles gemacht was du gesagt hast !

Zuerstz der Report von SmitFraudFix :

Code:

SmitFraudFix v2.300
 

Scan done at 21:33:41,06, 05.03.2008

Run from C:\Dokumente und Einstellungen\Christian und Verena\Desktop\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode
 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{ee9f7cf5-cd49-4cd8-8ba6-1514e7a5c22c}"="djuka"
 

[HKEY_CLASSES_ROOT\CLSID\{ee9f7cf5-cd49-4cd8-8ba6-1514e7a5c22c}\InProcServer32]

@="C:\WINDOWS\system32\wbchha.dll"
 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{ee9f7cf5-cd49-4cd8-8ba6-1514e7a5c22c}\InProcServer32]

@="C:\WINDOWS\system32\wbchha.dll"
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Killing process
 
 

»»»»»»»»»»»»»»»»»»»»»»»» hosts
 
 

127.0.0.1       localhost
 
 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
 

S!Ri's WS2Fix: LSP not Found.
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
 

GenericRenosFix by S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
 

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted

C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» DNS
 

Description: VIA VT6105 Rhine III Fast Ethernet Adapter - Paketplaner-Miniport

DNS Server Search Order: 80.69.98.110

DNS Server Search Order: 192.168.0.1
 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{254E9E0D-2EAA-4348-8BF0-60957588B055}: DhcpNameServer=80.69.98.110 192.168.0.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{254E9E0D-2EAA-4348-8BF0-60957588B055}: DhcpNameServer=80.69.98.110 192.168.0.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{254E9E0D-2EAA-4348-8BF0-60957588B055}: DhcpNameServer=80.69.98.110 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=80.69.98.110 192.168.0.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=80.69.98.110 192.168.0.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=80.69.98.110 192.168.0.1
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, following keys are not inevitably infected!!!
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

 

Registry Cleaning done. 

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 
 

»»»»»»»»»»»»»»»»»»»»»»»» End

Dann hab ich den CCleaner drüber laufen lassen + Registry reinigung mehrmals.

Und dann noch kaspersky hier der report :

Code:

Untersuchungsergebnisse 

Untersuchte Objekte insgesamt 10857 

Viren gefunden 3 

Infizierte Objekte gefunden 4 

Verdächtige Objekte gefunden 0 

Untersuchungszeit 00:07:33 
 

Name des infizierten Objekts Virusname Letzte Aktion 

C:\WINDOWS\CSC\00000001  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\Debug\PASSWD.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\amndoogh.dll  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\CatRoot2\edb.log  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\CatRoot2\tmp.edb  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\clipuser32.dll  Infizierte Objekte: Trojan-PSW.Win32.Delf.apy  übersprungen  

 

C:\WINDOWS\system32\cmgcirgi.dll  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\AppEvent.Evt  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\default  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\default.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SAM  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SAM.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SecEvent.Evt  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SECURITY  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SECURITY.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\software  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\software.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SysEvent.Evt  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\system  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\system.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\diaqsnbn.dll  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\drivers\sptd.sys  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\fokrqqkv.dll  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\hggdaaw.dll  Infizierte Objekte: not-a-virus:AdWare.Win32.Virtumonde.gen  übersprungen  

 

C:\WINDOWS\system32\ituglcbo.dll  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\mfrffnhh.dll  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\ninnhoyo.dll  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\nquuvekr.dll  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\oaihbgnu.dll  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\okkwkyfd.dll  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\qnggixjm.dll  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\rfpemwjy.dll  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\rlvlhspi.dll  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\sfpkguvt.dll  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\sleep32.dll  Infizierte Objekte: Trojan-PSW.Win32.Delf.bbe  übersprungen  

 

C:\WINDOWS\system32\ulbjbtis.dll  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\vturo.dll  Infizierte Objekte: not-a-virus:AdWare.Win32.Virtumonde.gen  übersprungen  

 

C:\WINDOWS\system32\vvhdqhsb.dll  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\ygngtcbe.dll  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\yhaiadvw.dll  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\ymcbxtap.dll  Das Objekt ist gesperrt  übersprungen  

 

Die Untersuchung wurde abgeschlossen.

Hoffe wir bekommen es jetzt in den griff :)

Mfg. Maverik

Hallo maverikone
Ich muss dich leider enttäuschen. Der Trojaner ist zu neu, als das man sagen kann, was er alles anrichtet. Er hat sich zu tief im System verankert und was er alles verseucht hat, wissen wir nicht. Bevor noch weiter hier rumgefrickelt wir, muss ich dir raten neu aufzusetzen.
Vielleicht hat noch jemand eine Idee, aber dass danach dein System wieder vertrauenswürdig wird, mag ich bezweifeln.
Wenn du noch irgendwelche Dateien sichern willst, können wir darüber reden.
Ansonsten geht ein neu aufsetzen auf jeden Fall schneller als jeder weitere Reinigungsversuch..

Wenn du dich noch über diese Datei belesen möchtest, dann gebe ich dir mal ein paar Links: hier und hier bei Google

Hallo blow-in,

Ich danke dir trotzdem viellmals für deine Hilfe, ich denke ich werde jetzt auch das system neu aufsetzen !

Kannst du mir evtl. noch ein paar tipps geben was ich nach dem neu aufsetzen
besser machen kann um mich richtig zu schützen !

Also ich finde Avira manchmal echt nervig da es manchmal regelrechte "ausflipper" gekommt gibt das noch andere freeware oder sogar noch bessere ?

Danke

Mfg. Maverik

Also der Avira ist schon der beste unter den kostenfreien AVP.
Nach der Neuistallation und Updates ein eingeschränktes Konto einrichten, mit dem du ins Internet gehst. Für deinen Bruder auf jeden Fall nur noch ein eingeschränktes Konto. Die Windowseigene Firewall ist an sich ausreichend und bremst den Rechner nicht aus.
Ansonsten wünsch ich dir für die Zukunft viel Glück und keinen Stress mehr mit dem Rechner.

Und wenn du neu aufgesetzt hast, zeige mir bitte noch ein HJT-Log vom neuen System. Dieses musst du aber als Admin ausführen.
Ich wünsche dir viel Erfolg.:daumenhoc