Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte schaut euch dieses HiJackThis Log-File an (https://www.trojaner-board.de/55737-bitte-schaut-euch-hijackthis-log-file.html)

Nordfaust 11.07.2008 11:26
Bitte schaut euch dieses HiJackThis Log-File an
 
Hallo, habe ein Problem mit dem Virus Win32:Adware-gen [Adw], wurde von avast! gefunden. Habe so eine Datei runtergelden und beim ausführen, scheint sich so ein angebliches "Antivirus XP" installiert zu haben, das mich jetzt hartnäckig nervt und sich nicht löschen lässt....
Ich bitte um Hilfe. Habe jetzt ein HiJackThis Log-File gepostet, hoffentlich habe ich es richtig gemacht.
Vielen Dank im Vorraus

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:01:40, on 11.07.2008
Platform: Windows XP SP3, v.3282 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3282)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Program Files\PowerDVD8\PowerDVD8\PDVD8Serv.exe
C:\Program Files\Cyberlink\Shared Files\brs.exe
C:\WINDOWS\system32\lphc5fqj0ev6c.exe
C:\Program Files\rhc1fqj0ev6c\rhc1fqj0ev6c.exe
C:\Program Files\Trillian\trillian.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\sam\My Documents\Mozilla Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Jesus liebt dich!
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: VideoCodec Class - {926A61C9-5C20-4583-ACA7-ACE21088816E} - C:\WINDOWS\system32\RichVideoCodec.dll
O2 - BHO: IEBlocker.Flt - {FFE59EC6-5491-4EF3-BA0D-77B0D895B4F7} - C:\WINDOWS\system32\navf.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl8] "C:\Program Files\PowerDVD8\PowerDVD8\PDVD8Serv.exe"
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] "C:\Program Files\PowerDVD8\PowerDVD8\Language\Language.exe"
O4 - HKLM\..\Run: [BDRegion] C:\Program Files\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [lphc5fqj0ev6c] C:\WINDOWS\system32\lphc5fqj0ev6c.exe
O4 - HKLM\..\Run: [SMrhc1fqj0ev6c] C:\Program Files\rhc1fqj0ev6c\rhc1fqj0ev6c.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Trillian.lnk = C:\Program Files\Trillian\trillian.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe

--
End of file - 4653 bytes

BataAlexander 11.07.2008 13:03
Dateien läd man nicht einfach so runter, auch wenn Jesus Dich zu lieben scheint :rolleyes:

Arbeite die Schritte in folgender Reihenfolge ab.

1. Dateien online prüfen

* Besuche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:
C:\WINDOWS\system32\lphc5fqj0ev6c.exe
C:\Program Files\rhc1fqj0ev6c\rhc1fqj0ev6c.exe
2. Malwarebytes
Lasse Malwarebytes wie beschrieben laufen und poste das Logfile hier

3. Logs posten
Poste die folgenden Logs hier

- Virustotal Ergebnisse
- Malwarebytes
- HiJackthis log (Links editieren)

Nordfaust 11.07.2008 18:50
[Also der Malwarebytes' ANti-Malware Scanner hängt sich dauernd auf, habe es schon ca. 10 mal probiert. Der Computer stürzt auch dauernd ab und macht faxen, klar es liegt am Virus, d.h. der hindert mich jetzt daran ihn zu entfernen, naja ich werds weiter probieren. Vielen Dank für die Hilfe bis jetzt.

Code:
Datei rhc3buj0eld9.exe empfangen 2008.07.11 12:11:18 (CET)
Status: Beendet
Ergebnis: 11/32 (34.38%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.7.11.0        2008.07.10        -
AntiVir        7.8.0.64        2008.07.11        TR/Drop.Age.1642496
Authentium        5.1.0.4        2008.07.10        -
Avast        4.8.1195.0        2008.07.11        -
AVG        7.5.0.516        2008.07.11        FakeAlert.AF
BitDefender        7.2        2008.07.11        Trojan.Peed.JOP
CAT-QuickHeal        9.50        2008.07.10        -
ClamAV        0.93.1        2008.07.11        -
DrWeb        4.44.0.09170        2008.07.11        -
eSafe        7.0.17.0        2008.07.10        -
eTrust-Vet        31.6.5946        2008.07.11        -
Ewido        4.0        2008.07.10        -
F-Prot        4.4.4.56        2008.07.10        -
F-Secure        7.60.13501.0        2008.07.10        -
Fortinet        3.14.0.0        2008.07.11        PossibleThreat
GData        2.0.7306.1023        2008.07.11        Trojan-Downloader.Win32.FraudLoad.vahx
Ikarus        T3.1.1.26.0        2008.07.11        Trojan.Peed.JOA
Kaspersky        7.0.0.125        2008.07.11        Trojan-Downloader.Win32.FraudLoad.vahx
McAfee        5336        2008.07.10        Generic FakeAlert.b
NOD32v2        3261        2008.07.11        -
Norman        5.80.02        2008.07.10        -
Panda        9.0.0.4        2008.07.10        -
Prevx1        V2        2008.07.11        Malicious Software
Rising        20.52.41.00        2008.07.11        -
Sophos        4.31.0        2008.07.11        -
Sunbelt        3.1.1509.1        2008.07.04        -
Symantec        10        2008.07.11        AntiVirus2008
TheHacker        6.2.96.376        2008.07.10        -
TrendMicro        8.700.0.1004        2008.07.11        -
VBA32        3.12.6.9        2008.07.11        -
VirusBuster        4.5.11.0        2008.07.10        -
Webwasher-Gateway        6.6.2        2008.07.11        Trojan.Drop.Age.1642496
weitere Informationen
File size: 1214976 bytes
MD5...: a7ffd8f1e421c81008eda86e21a13a71
SHA1..: 82b68ab3ea3a2935323c2ce9eb38d15c6aeefaf7
SHA256: 146d21092353c5537535e2cd4e4f4a71d7d7ecb2b3d13d12dc0761ccc076d4b1
SHA512: b1259c18b888dee80629204a52da1ca07a1bc18edf82974cf2105108456d34aa
b06e9b072014049d37c5a42ec4c405500828428cc11e223ea064910b110e28df
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4259e8
timedatestamp.....: 0x485d43ab (Sat Jun 21 18:08:43 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7f8b5 0x3aa00 8.00 4d6b8bffbf5d6e94568c911e3434193c
.rdata 0x81000 0x23b7c 0xc600 8.00 992a922746bdda4ed8f3b72dd1ae1815
.data 0xa5000 0x1bf82 0xc800 8.00 44d409cdd6b1dd289d8c5dadf1040dc3
.tls 0xc1000 0x8ce 0x200 7.52 52b49a4eafb33c13ccfa771d3d8d2a9a
.rsrc 0xc2000 0xd4000 0xd4000 5.10 ecda51d99351b8bd610db7cf81780046

( 3 imports )
> kernel32.dll: GetConsoleWindow, CompareFileTime, CopyFileW, CreateThread, DefineDosDeviceW, EnumResourceTypesW, GetCommConfig, GetDateFormatW
> msvcrt.dll: _mbccpy, _mbctombb, _mbsdec, _pctype, _snprintf, _snwprintf
> shell32.dll: DragQueryFileAorW, StrStrIA, DuplicateIcon

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=2C3FE4DF003F8F6F8AA41205A2165F008247CED1
Code:
Datei lphc5fqj0ev6c.exe empfangen 2008.07.11 06:34:22 (CET)
Status: Beendet
Ergebnis: 6/33 (18.18%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        -        -        -
AntiVir        -        -        TR/Crypt.XPACK.Gen
Authentium        -        -        -
Avast        -        -        -
AVG        -        -        -
BitDefender        -        -        -
CAT-QuickHeal        -        -        (Suspicious) - DNAScan
ClamAV        -        -        -
DrWeb        -        -        -
eSafe        -        -        Suspicious File
eTrust-Vet        -        -        -
Ewido        -        -        -
F-Prot        -        -        -
F-Secure        -        -        -
Fortinet        -        -        -
GData        -        -        -
Ikarus        -        -        -
Kaspersky        -        -        -
McAfee        -        -        -
Microsoft        -        -        Trojan:Win32/Tibs.J
NOD32v2        -        -        -
Norman        -        -        -
Panda        -        -        -
Prevx1        -        -        Malicious Software
Rising        -        -        -
Sophos        -        -        -
Sunbelt        -        -        -
Symantec        -        -        -
TheHacker        -        -        -
TrendMicro        -        -        -
VBA32        -        -        -
VirusBuster        -        -        -
Webwasher-Gateway        -        -        Trojan.Crypt.XPACK.Gen
weitere Informationen
MD5: 9c664b5d8d6bbf1a9975756772dfa69e
SHA1: 71eeadaa68406793514d3e960f5813c34596c518
SHA256: 953b0bffd045909385482370216bb736b5840e018579444293ea75abce1ffa0d
SHA512: eeecaf8ebc946c59e92acf40d89098281df388a393db1a00fcee170bd4587a65d0dcc1d76f8cb221343c62e60362bf16928e1e133647f9825656fea1abb7b5f6

BataAlexander 11.07.2008 18:56
Wenn es partout nicht funtionieren sollte, wende bitte dies an.

ComboFix
  • Download ComboFix von hier oder hier auf Deinen Desktop.
  • Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
    (Auch Guards von Ad-, Spyware Programmen!)
  • Doppelklicke die combofix.exe.
  • Wenn Combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort

Wichtige Hinweise:
  • Combofix darf ausschließlich ausgeführt werden wenn ein erfahrener Helfer dies ausdrücklich empfohlen hat!
    Es sollte nie auf eigene Initiative hin ausgeführt werden. Eine falsche Benutzung kann ernsthalfte Computerprobleme nach sich ziehen.
  • Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
  • Alle Guards der Antivirenprogramme sollten wie beschrieben deaktiviert sein.
  • Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
  • Combofix leert die Liste der für das Internet autorisierten Anwendungen. Die meisten Fragen im Folgenden nach einer Erneuten Aufnahme, einige nicht. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
  • Combofix ändert den Standardbrowser auf den Internet Explorer. Diese Änderung nach der Anwendung ggf. manuel wieder ändern.
  • Der Desktop wird während Combofix blau werden, die Icons verschinden. Dies Verhalten ist gewollt und bedeutet keine Gefahr.

Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Nordfaust 12.07.2008 15:38
Code:
ComboFix 08-07-11.1 - sam 2008-07-12 16:27:33.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1033.18.289 [GMT 2:00]
Running from: C:\Documents and Settings\sam\My Documents\Mozilla Downloads\ComboFix.exe
 * Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((((((  Other Deletions  )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\sam\Application Data\rhc1fqj0ev6c
C:\Program Files\rhc1fqj0ev6c
C:\WINDOWS\system32\blphc5fqj0ev6c.scr
C:\WINDOWS\system32\lphc5fqj0ev6c.exe
C:\WINDOWS\system32\phc5fqj0ev6c.bmp
C:\WINDOWS\system32\pphc5fqj0ev6c.exe
C:\WINDOWS\system32\richvideocodec.dll
C:\WINDOWS\system32\sysrest.sys
C:\WINDOWS\system32\sysrest32.exe

.
(((((((((((((((((((((((((((((((((((((((  Drivers/Services  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_sysrest.sys


(((((((((((((((((((((((((  Files Created from 2008-06-12 to 2008-07-12  )))))))))))))))))))))))))))))))
.

2008-07-11 17:18 . 2008-07-11 17:18        <DIR>        d--------        C:\Program Files\Malwarebytes' Anti-Malware
2008-07-11 17:18 . 2008-07-11 17:18        <DIR>        d--------        C:\Documents and Settings\sam\Application Data\Malwarebytes
2008-07-11 17:18 . 2008-07-11 17:18        <DIR>        d--------        C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-11 17:18 . 2008-07-07 17:35        34,296        --a------        C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-11 17:18 . 2008-07-07 17:35        17,144        --a------        C:\WINDOWS\system32\drivers\mbam.sys
2008-07-11 11:40 . 2008-07-11 11:47        94,208        --a------        C:\WINDOWS\system32\72.tmp
2008-07-11 11:40 . 2008-07-11 11:47        94,208        --a------        C:\WINDOWS\system32\71.tmp
2008-07-11 11:40 . 2008-07-11 11:47        94,208        --a------        C:\WINDOWS\system32\70.tmp
2008-07-11 11:40 . 2008-07-11 11:46        94,208        --a------        C:\WINDOWS\system32\6F.tmp
2008-07-11 11:40 . 2008-07-11 11:40        19,456        --a------        C:\WINDOWS\system32\navfilter.dll
2008-07-11 11:40 . 2008-07-11 11:40        19,456        --a------        C:\WINDOWS\system32\navf.dll
2008-07-11 11:39 . 2008-07-11 11:39        <DIR>        d--------        C:\Program Files\RichVideoCodec
2008-07-11 11:39 . 2008-07-11 11:39        19,456        --a------        C:\WINDOWS\system32\nvgflt.dll
2008-07-11 10:48 . 2008-07-11 10:48        <DIR>        d--------        C:\Documents and Settings\sam\Application Data\CyberLink
2008-07-11 10:43 . 2008-07-11 10:43        <DIR>        d--------        C:\Program Files\Cyberlink
2008-07-11 10:43 . 2008-07-11 10:43        <DIR>        d--------        C:\Program Files\Common Files\CyberLink
2008-07-11 10:43 . 2008-07-11 10:48        <DIR>        d--------        C:\Documents and Settings\All Users\Application Data\CyberLink
2008-07-11 10:40 . 2008-07-11 10:41        <DIR>        d--------        C:\Program Files\PowerDVD8
2008-07-11 10:40 . 2008-07-11 10:40        29,480        --a------        C:\WINDOWS\system32\msxml3a.dll
2008-07-07 21:44 . 2008-07-07 21:44        <DIR>        d--------        C:\WINDOWS\Sun
2008-07-06 22:33 . 2008-07-06 22:33        <DIR>        d--------        C:\Documents and Settings\sam\Application Data\vlc
2008-07-06 22:27 . 2008-07-06 22:28        <DIR>        d--------        C:\Program Files\VLC
2008-06-27 21:22 . 2008-06-27 21:22        <DIR>        d--------        C:\Program Files\OpenSource Flash Video Splitter
2008-06-24 16:47 . 2008-06-25 00:35        <DIR>        d--------        C:\WINDOWS\SxsCaPendDel
2008-06-23 15:29 . 2008-07-11 11:00        <DIR>        d--------        C:\Documents and Settings\sam\Shared
2008-06-23 15:29 . 2008-07-11 11:47        <DIR>        d--------        C:\Documents and Settings\sam\Incomplete
2008-06-23 15:28 . 2008-06-23 15:28        <DIR>        d--------        C:\Program Files\LimeWire
2008-06-23 15:28 . 2008-06-27 18:03        <DIR>        d--------        C:\Documents and Settings\sam\Application Data\LimeWire
2008-06-23 15:16 . 2008-06-23 15:16        <DIR>        d--hs----        C:\WINDOWS\ftpcache
2008-06-22 22:28 . 2008-07-11 10:43        <DIR>        d--h-----        C:\Program Files\InstallShield Installation Information
2008-06-22 22:17 . 2008-06-22 22:17        <DIR>        d--------        C:\Documents and Settings\All Users\Application Data\Adobe Systems
2008-06-22 22:10 . 2008-06-22 22:10        <DIR>        d--------        C:\Program Files\Common Files\Adobe Systems Shared
2008-06-22 20:49 . 2008-06-23 15:27        17,856        --a------        C:\WINDOWS\system32\GDIPFONTCACHEV1.DAT
2008-06-22 20:45 . 2008-07-11 19:52        <DIR>        d--------        C:\Program Files\Trillian
2008-06-22 15:27 . 2008-06-22 15:27        400        --a------        C:\WINDOWS\ODBC.INI
2008-06-22 15:26 . 2003-06-18 17:31        17,920        --a------        C:\WINDOWS\system32\mdimon.dll
2008-06-22 15:17 . 2008-06-22 15:21        <DIR>        d--------        C:\WINDOWS\SHELLNEW
2008-06-22 15:07 . 2008-06-22 15:07        <DIR>        dr-h-----        C:\MSOCache
2008-06-22 14:09 . 2008-06-22 14:09        <DIR>        d--------        C:\Documents and Settings\sam\Application Data\DivX
2008-06-22 01:11 . 2008-06-22 01:40        2,328,704        --a------        C:\WINDOWS\system32\TUKernel.exe
2008-06-21 20:41 . 2008-06-21 20:41        <DIR>        d--------        C:\Program Files\AviSynth 2.5
2008-06-21 20:41 . 2004-02-22 10:11        719,872        --a------        C:\WINDOWS\system32\devil.dll
2008-06-21 20:41 . 2006-10-07 17:43        502,784        --a------        C:\WINDOWS\x2.64.exe
2008-06-21 20:41 . 2008-02-07 16:15        408,576        --a------        C:\WINDOWS\system32\Smab.dll
2008-06-21 20:41 . 2007-05-17 17:30        318,976        --a------        C:\WINDOWS\system32\avisynth.dll
2008-06-21 20:41 . 2005-02-28 13:16        240,128        --a------        C:\WINDOWS\system32\x.264.exe
2008-06-21 20:41 . 2006-04-12 09:47        217,073        --a------        C:\WINDOWS\meta4.exe
2008-06-21 20:41 . 2004-01-25 00:00        70,656        --a------        C:\WINDOWS\system32\yv12vfw.dll
2008-06-21 20:41 . 2004-01-25 00:00        70,656        --a------        C:\WINDOWS\system32\i420vfw.dll
2008-06-21 20:41 . 2006-04-05 08:09        66,560        --a------        C:\WINDOWS\MOTA113.exe
2008-06-21 20:41 . 2005-07-14 12:31        27,648        --a------        C:\WINDOWS\system32\AVSredirect.dll
2008-06-21 16:18 . 2008-06-21 16:18        <DIR>        d--------        C:\WINDOWS\system32\QuickTime
2008-06-21 16:18 . 2008-06-21 16:18        <DIR>        d--------        C:\WINDOWS\system32\custom matrices
2008-06-21 16:18 . 2008-06-21 16:18        <DIR>        d--------        C:\WINDOWS\system32\C2MP
2008-06-21 16:09 . 2007-12-28 10:43        221,184        --a------        C:\WINDOWS\system32\wmpns.dll
2008-06-21 16:05 . 2007-12-27 18:54        15,104        --a------        C:\WINDOWS\system32\drivers\usbscan.sys
2008-06-21 16:05 . 2007-12-27 18:54        15,104        --a--c---        C:\WINDOWS\system32\dllcache\usbscan.sys
2008-06-21 16:01 . 2005-02-25 00:00        46,080        --a------        C:\WINDOWS\system32\escimgd.dll
2008-06-21 16:01 . 2005-02-25 00:00        29,696        --a------        C:\WINDOWS\system32\escwiad.dll
2008-06-21 16:01 . 2005-02-25 00:00        22,016        --a------        C:\WINDOWS\system32\esccmd.dll
2008-06-21 15:53 . 2008-07-08 22:39        <DIR>        d--------        C:\Documents and Settings\sam\dwhelper
2008-06-21 15:22 . 2007-12-27 18:56        26,368        --a--c---        C:\WINDOWS\system32\dllcache\usbstor.sys
2008-06-21 15:22 . 2008-07-10 07:42        69        --a------        C:\WINDOWS\NeroDigital.ini
2008-06-21 15:04 . 2008-02-22 02:33        69,632        --a------        C:\WINDOWS\system32\javacpl.cpl
2008-06-21 15:01 . 2008-06-21 15:04        <DIR>        d--------        C:\Program Files\Java
2008-06-21 15:00 . 2008-06-21 15:00        <DIR>        d--------        C:\Program Files\Common Files\Java
2008-06-21 14:35 . 2002-09-11 13:18        40,448        -ra------        C:\WINDOWS\system32\drivers\fetnd5b.sys
2008-06-21 14:32 . 2007-12-27 19:28        83,072        --a------        C:\WINDOWS\system32\drivers\wdmaud.sys
2008-06-21 14:32 . 2007-12-27 19:28        83,072        --a--c---        C:\WINDOWS\system32\dllcache\wdmaud.sys
2008-06-21 14:32 . 2007-12-27 18:56        52,864        --a------        C:\WINDOWS\system32\drivers\DMusic.sys
2008-06-21 14:32 . 2007-12-27 18:56        52,864        --a--c---        C:\WINDOWS\system32\dllcache\dmusic.sys
2008-06-21 14:32 . 2007-12-27 18:56        6,272        --a------        C:\WINDOWS\system32\drivers\splitter.sys
2008-06-21 14:32 . 2007-12-27 18:56        6,272        --a--c---        C:\WINDOWS\system32\dllcache\splitter.sys
2008-06-21 14:31 . 2008-06-21 14:31        <DIR>        d--------        C:\Program Files\VIA Technologies, Inc
2008-06-21 14:25 . 2005-12-09 03:03        71,168        --a------        C:\WINDOWS\system32\E_FLBBEE.DLL
2008-06-21 14:25 . 2005-04-11 03:01        62,976        --a------        C:\WINDOWS\system32\E_FD4BBEE.DLL
2008-06-21 14:25 . 2004-09-10 22:12        49,152        --a------        C:\WINDOWS\system32\E_DCINST.DLL
2008-06-21 14:25 . 2002-12-26 22:41        26,880        -ra------        C:\WINDOWS\system32\drivers\VIAAGP1.SYS
2008-06-21 14:24 . 2008-06-21 14:24        <DIR>        d--------        C:\WINDOWS\system32\Tools
2008-06-21 14:24 . 2008-06-21 14:24        <DIR>        d--------        C:\Documents and Settings\sam\WINDOWS
2008-06-21 14:24 . 1998-10-29 16:45        306,688        --a------        C:\WINDOWS\IsUninst.exe
2008-06-21 14:23 . 2008-06-22 22:27        <DIR>        d--------        C:\Program Files\Common Files\InstallShield
2008-06-21 14:17 . 2008-06-21 16:01        <DIR>        d--------        C:\Program Files\EPSON
2008-06-20 20:43 . 2008-06-20 20:43        <DIR>        d--------        C:\Documents and Settings\sam\Application Data\Ahead
2008-06-20 20:39 . 2008-06-20 20:39        <DIR>        d--------        C:\Program Files\Nero
2008-06-20 20:39 . 2008-06-20 20:39        <DIR>        d--------        C:\Program Files\Common Files\Ahead
2008-06-20 20:32 . 2008-06-20 20:32        0        --a------        C:\WINDOWS\nsreg.dat
2008-06-20 20:18 . 2008-06-20 20:30        <DIR>        d--------        C:\Program Files\ICQLite
2008-06-20 20:18 . 2008-06-20 20:30        <DIR>        d--------        C:\Documents and Settings\sam\Application Data\ICQLite
2008-06-20 20:17 . 2006-11-23 16:45        24,072        --a------        C:\WINDOWS\system32\uxtuneup.dll
2008-06-20 20:16 . 2008-06-20 20:17        <DIR>        d--------        C:\Program Files\TuneUp 2007
2008-06-20 20:16 . 2008-06-20 20:16        <DIR>        d--------        C:\Program Files\Common Files\Wise Installation Wizard
2008-06-20 20:16 . 2008-06-20 20:16        <DIR>        d--------        C:\Documents and Settings\sam\Application Data\TuneUp Software
2008-06-20 20:16 . 2008-06-20 20:16        <DIR>        d--------        C:\Documents and Settings\All Users\Application Data\TuneUp Software
2008-06-20 20:10 . 2008-06-28 11:14        <DIR>        d--------        C:\Program Files\SUPER
2008-06-20 20:09 . 2008-06-20 20:09        4,444        --a------        C:\WINDOWS\system32\pid.PNF
2008-06-20 20:08 . 2004-08-04 21:00        66,082        --a--c---        C:\WINDOWS\system32\dllcache\c_1141.nls
2008-06-20 20:08 . 2004-08-04 21:00        66,082        --a------        C:\WINDOWS\system32\c_1141.nls
2008-06-20 20:03 . 2008-06-24 16:54        <DIR>        d--------        C:\Program Files\Common Files\Adobe

.
((((((((((((((((((((((((((((((((((((((((  Find3M Report  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-28 10:10        ---------        d-----w        C:\Documents and Settings\sam\Application Data\Skype
2008-06-28 08:52        ---------        d-----w        C:\Documents and Settings\sam\Application Data\skypePM
2008-06-20 17:53        ---------        d-----w        C:\Program Files\Skype
2008-06-20 17:53        ---------        d-----w        C:\Program Files\Common Files\Skype
2008-06-20 17:53        ---------        d-----w        C:\Documents and Settings\All Users\Application Data\Skype
2008-06-20 17:36        ---------        d-----w        C:\Program Files\Avast4
2008-06-20 17:24        ---------        d-----w        C:\Program Files\microsoft frontpage
2006-05-03 09:06        163,328        --sh--r        C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47        31,232        --sh--r        C:\WINDOWS\system32\msfDX.dll
2007-12-17 12:43        27,648        --sh--w        C:\WINDOWS\system32\Smab0.dll
.

(((((((((((((((((((((((((((((((((((((  Reg Loading Points  ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"RemoteControl8"="C:\Program Files\PowerDVD8\PowerDVD8\PDVD8Serv.exe" [2008-03-20 20:23 83240]
"PDVD8LanguageShortcut"="C:\Program Files\PowerDVD8\PowerDVD8\Language\Language.exe" [2007-12-14 11:36 50472]
"BDRegion"="C:\Program Files\Cyberlink\Shared Files\brs.exe" [2008-07-11 01:09 91432]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2007-12-28 10:44 15360]

C:\Documents and Settings\sam\Start Menu\Programs\Startup\
Trillian.lnk - C:\Program Files\Trillian\trillian.exe [12/11/2007 1873280]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoUserNameInStartMenu"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll
"vidc.hfyu"= huffyuv.dll
"msacm.divxa32"= DivXa32.acm
"msacm.l3codec"= l3codecp.acm

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\ICQLite\\ICQLite.exe"=
"C:\\Program Files\\Trillian\\trillian.exe"=
"C:\\Program Files\\LimeWire\\LimeWire.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};C:\Program Files\PowerDVD8\PowerDVD8\000.fcl [2008-02-01 17:24]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2007-12-28 10:44]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

.
Contents of the 'Scheduled Tasks' folder
"2008-06-26 15:37:56 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Program Files\TuneUp 2007\SystemOptimizer.exe
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-lphc5fqj0ev6c - C:\WINDOWS\system32\lphc5fqj0ev6c.exe
HKLM-Run-SMrhc1fqj0ev6c - C:\Program Files\rhc1fqj0ev6c\rhc1fqj0ev6c.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-12 16:31:20
Windows 5.1.2600 Service Pack 3, v.3282 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\C:\Program Files\PowerDVD8\PowerDVD8\000.fcl"
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2008-07-12 16:36:19 - machine was rebooted [sam]
ComboFix-quarantined-files.txt  2008-07-12 14:36:12

Pre-Run: 63,937,757,184 bytes free
Post-Run: 63,946,579,968 bytes free

213

Nordfaust 12.07.2008 15:40
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:39:53, on 12.07.2008
Platform: Windows XP SP3, v.3282 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3282)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\PowerDVD8\PowerDVD8\PDVD8Serv.exe
C:\Program Files\Cyberlink\Shared Files\brs.exe
C:\Program Files\Trillian\trillian.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\sam\My Documents\Mozilla Downloads\Virusbekämpfung Trojaner-Board\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl8] "C:\Program Files\PowerDVD8\PowerDVD8\PDVD8Serv.exe"
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] "C:\Program Files\PowerDVD8\PowerDVD8\Language\Language.exe"
O4 - HKLM\..\Run: [BDRegion] C:\Program Files\Cyberlink\Shared Files\brs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Trillian.lnk = C:\Program Files\Trillian\trillian.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe

--
End of file - 4360 bytes

BataAlexander 14.07.2008 22:08
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
KillAll::

File::
C:\WINDOWS\system32\72.tmp
C:\WINDOWS\system32\71.tmp
C:\WINDOWS\system32\70.tmp
C:\WINDOWS\system32\6F.tmp
C:\WINDOWS\system32\navfilter.dll
C:\WINDOWS\system32\navf.dll
C:\Program Files\RichVideoCodec
C:\WINDOWS\system32\nvgflt.dll
C:\WINDOWS\system32\msxml3a.dll
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:32 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129