Desktop läßt sich nicht mehr ändern Hallo, ich bin ein kleiner Anwender, der ein Befall seines Computers festgestellt hat "Warning spyware detected on your computer...." Diese Warnung ist wohl bereits vielen bekannt. Die fachliche Hilfe, die ich mir bereits geholt habe, hat mich leider auf KW 33 und später vertröstet. Bisher habe ich den Computer scannen lassen (mit Ad-aware) und dieser zeigt nun 0 Teffer an. Doch obige Meldung bleibt bestehen und Desktop Bild läßt sich nicht ändern. Nun habe ich ein wenig im Internet gelesen und ein Hijack log file erstellt. Kann mir einer helfen und zwar so, das ein "DAU" es versteht? Ich habe Windows XP home (service pack 2 installiert) laufen. Ein Wiederherstellungsprogramm oder backup habe ich nicht oder weiß nichts davon. Es laufen Ad-aware und avast und Windows firewall. Sollte ich etwas falsch eingetragen haben, es ist mein erstes Mal hier.... Danke, schon mal im voraus! C:\Programme\iTunes\iTunesHelper.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\iexplore.exe C:\Program Files\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file) O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [lphc5kcj0ep35] C:\WINDOWS\system32\lphc5kcj0ep35.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 7597 bytes |
Habe Malwarebytes durchgeführt und viele "Treffer" Hier das Log file von malwarebytes: Malwarebytes' Anti-Malware 1.23 Datenbank Version: 1000 Windows 5.1.2600 Service Pack 2 14:39:38 28.07.2008 mbam-log-7-28-2008 (14-39-38).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|I:\|J:\|K:\|L:\|S:\|) Durchsuchte Objekte: 149265 Laufzeit: 1 hour(s), 14 minute(s), 36 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 8 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 2 Infizierte Dateien: 7 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc5kcj0ep35 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\backupwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\****\Anwendungsdaten\wsnpoem (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\****\Anwendungsdaten\wsnpoem\audio.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\blphc5kcj0ep35.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\phc5kcj0ep35.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. |
Zitat:
Folge dem Link Neuaufsetzen in meiner Signatur. Zudem noch: - Passwörter, Zugangsdaten ändern (von einem sauberen Rechner) - Konten wie ebay, Online Banking, PayPal sperren lassen - Kontakt mit deiner Bank aufnehmen mfg |
Habe noch Combofix laufen lassen Hi, @Dark Viruz: Ist das wirklich so dramatisch? Ich habe noch den Combofix laufen lassen. Analog zu folgendem Thread (http://www.trojaner-board.de/55953-blauer-desktop-mit-warnung.html). Kann ich nicht auch so verfahren? Was meinst Du zu unten stehenden Logfile? Was bedeutet das Zitat in deiner Antwort ? Gruß Molly2007 ComboFix 08-07-28.1 - ***** 2008-07-28 21:10:35.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.241 [GMT 2:00] ausgeführt von:: C:\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat C:\WINDOWS\system32\uninstall.exe C:\WINDOWS\system32\userini.exe ----- BITS: Eventuell infizierte Webseiten ----- http://fixaserver.ru . ((((((((((((((((((((((( Dateien erstellt von 2008-06-28 bis 2008-07-28 )))))))))))))))))))))))))))))) . 2008-07-28 14:53 . 2008-07-28 20:58 <DIR> d----c--- C:\Programme\Combofix 2008-07-28 13:22 . 2008-07-28 13:22 <DIR> d----c--- C:\Programme\Malware 2008-07-28 13:22 . 2008-07-28 13:22 <DIR> d----c--- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes 2008-07-28 13:22 . 2008-07-28 13:22 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-07-28 13:22 . 2008-07-23 20:09 38,472 --a--c--- C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-07-28 13:22 . 2008-07-23 20:09 17,144 --a--c--- C:\WINDOWS\system32\drivers\mbam.sys 2008-07-28 13:20 . 2008-07-28 14:53 <DIR> d----c--- C:\Programme\Malwarebytes 2008-07-26 11:04 . 2008-07-26 11:04 <DIR> d----c--- C:\Programme\Alwil Software 2008-07-26 10:33 . 2008-07-26 10:33 <DIR> d----c--- C:\Programme\Lavasoft 2008-07-26 10:33 . 2008-07-26 10:34 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-07-23 14:08 . 2008-07-23 14:45 46,536 --a--c--- C:\WINDOWS\system32\drivers\MiniIcpt.sys 2008-07-23 14:03 . 2008-07-28 21:05 54,156 --ah-c--- C:\WINDOWS\QTFont.qfn 2008-07-23 14:03 . 2008-07-23 14:03 1,409 --a--c--- C:\WINDOWS\QTFont.for 2008-07-16 17:17 . 2008-07-16 17:17 148 --a--c--- C:\WINDOWS\system32\MRT.INI . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-26 08:32 --------- dc----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-07-23 21:11 --------- dc-h--w C:\Programme\InstallShield Installation Information 2008-07-23 19:58 52,810 -c--a-w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\wklnhst.dat 2008-07-23 12:55 --------- dc----w C:\Programme\Microsoft ActiveSync 2008-07-14 18:01 --------- dc----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Apple Computer 2008-06-20 17:39 247,296 -c--a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 10:45 360,320 -c--a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 -c--a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 -c--a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-14 17:57 273,024 -c----w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-04 11:23 --------- dc----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Move Networks 2008-05-16 09:58 12,632 -c--a-w C:\WINDOWS\system32\lsdelete.exe 2008-05-07 05:14 1,293,312 -c--a-w C:\WINDOWS\system32\quartz.dll 2006-11-03 14:15 70,968 -c--a-w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2003-08-14 17:13 40,960 -c--a-w C:\Programme\Uninstall_PCM.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PCMService"="C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" [2003-06-24 15:23 61440] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 21:10 335872] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-17 17:14 50688] "PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-05-28 16:37 394240] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-11-23 14:34 180269] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008] "Dit"="Dit.exe" [2002-08-28 13:43 73728 C:\WINDOWS\Dit.exe] "CHotkey"="mHotkey.exe" [2003-06-27 15:39 506368 C:\WINDOWS\mHotkey.exe] "Cmaudio"="cmicnfg.cpl" [2003-10-14 18:31 2269184 C:\WINDOWS\CMICNFG.CPL] "PRISMSTA.EXE"="PRISMSTA.EXE" [2003-08-04 15:54 215552 C:\WINDOWS\system32\PRISMSTA.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.PIM1"= pclepim1.dll "MSACM.CEGSM"= mobilev.acm [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= R0 WDMCAPI;ISDN PCI CAPI;C:\WINDOWS\system32\DRIVERS\WDMCAPI.sys [2002-12-17 11:36] R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37] R2 BCMNTIO;BCMNTIO;C:\PROGRA~1\CheckIt\DIAGNO~1\BCMNTIO.sys [2004-03-05 17:09] R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-20 16:29] R2 MAPMEM;MAPMEM;C:\PROGRA~1\CheckIt\DIAGNO~1\MAPMEM.sys [2004-03-05 17:09] R3 WDMWANMP;NDIS WAN miniport;C:\WINDOWS\system32\DRIVERS\wdmwanmp.sys [2002-12-09 11:21] S3 ACCSKMD;Canon Camera Storage Device;C:\WINDOWS\system32\DRIVERS\accskmd.sys [2002-06-26 22:44] S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-20 16:27] S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-20 16:41] S3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2003-06-05 08:04] S3 FLIRUSBNET;FLIR USB Network Adapter;C:\WINDOWS\system32\DRIVERS\FLIRUSB.sys [2003-12-22 17:46] S3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-06-12 08:47] S3 PRISM_A00;PRISM 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys [2003-08-07 16:36] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d643bad6-cfe2-11dc-a273-487444737531}] \Shell\AutoRun\command - H:\Launch.exe *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-AOLMIcon - C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe HKU-Default-Run-ALUAlert - C:\Programme\Symantec\LiveUpdate\ALUNotify.exe . ------- Zusätzlicher Scan ------- . R0 -: HKCU-Main,Start Page = hxxp://www.google.com/ R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/keyword/%s O8 -: &Google-Suche - C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 -: &Ins Deutsche übersetzen - C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 -: Im Cache gespeicherte Seite - C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 -: Verweisseiten - C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 -: Ähnliche Seiten - C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-28 21:12:26 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... ************************************************************************** . Zeit der Fertigstellung: 2008-07-28 21:15:35 ComboFix-quarantined-files.txt 2008-07-28 19:14:33 Pre-Run: 11 Verzeichnis(se), 63,898,132,480 Bytes frei Post-Run: 13 Verzeichnis(se), 63,959,506,944 Bytes frei 142 --- E O F --- 2008-07-16 15:18:51 |
Zitat:
Zitat:
Zitat:
WSNPoem wird von den Trojanern verwendet, die die Eigenschaft haben Passwörter und insbesondere TAN's beim Onlinebanking zu stehlen und an Remotebenutzer zu senden. mfg Edit: Eine Frage, hast du den Anhang einer UPS - Email geöffnet, bzw. ausgeführt? |
Erstmal vielen Dank für deine schnelle Hilfe!! Nee, ich habe keine solche Mail erhalten oder geöffnet. |
Kein Problem, wenn du gerade nichts zu tun hast, kannst du bitte systemweit nach einer userini.exe (nicht userinit.exe) suchen? Und wenn du einen Zweitrechner besitzt, trenne den infizierten physikalisch vom Netz. mfg |
nö, hab nix anderes zu tun:heulen: Zweitrechner steht bereit und begebe mich auf die Suche... bis gleich hast du eine neue Idee? |
Die Suche deswegen, weil mich dieser Eintrag irritiert: Zitat:
WSNPoem wird nämlich oft in Verbindung mit dem Teufel (ntos.exe) gebracht, deshalb würd ich gern wissen, um was es sich handelt. Aber egal, wenn wsnpoem im Spiel ist, wird man ums Neuaufsetzen wohl kaum herumkommen. mfg |
so, habe eine Datei gefunden: C:\QooBox\Quarantine\CWINDOWS\system32 |
Zitat:
Mache mal zur Sicherheit folgendes: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\userinit.exe
Mir ist die ganze Sache überhaupt nicht geheuer. |
bei meinen ersten Scannen habe ich auch eine Infizierte Datei namens "ntos" gehabt. Die wurde dann umbenannt (mittels Bootscan CD von GDATA) GDATA ist aber nicht mehr installiert und wurde durch Avast und Adaware ersetzt (durch fachliche Hilfe). |
Zitat:
Betreibst du Online Banking, oder sowas in der Art? |
mal ganz doof, aber dazu soll ich wieder online gehen? |
Für das VirusTotal, ja. Großen Schaden wird die kurze Zeit wohl kaum nehmen, du solltest nur nichts passwortrelevantes betreiben. |
Zitat:
|
Zitat:
|
also hier die Auswertung: Datei userinit.exe empfangen 2008.07.28 22:45:55 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/35 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 3. Geschätzte Startzeit is zwischen 56 und 80 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.26.0 2008.07.28 - AntiVir 7.8.1.12 2008.07.28 - Authentium 5.1.0.4 2008.07.28 - Avast 4.8.1195.0 2008.07.28 - AVG 8.0.0.130 2008.07.28 - BitDefender 7.2 2008.07.28 - CAT-QuickHeal 9.50 2008.07.28 - ClamAV 0.93.1 2008.07.28 - DrWeb 4.44.0.09170 2008.07.28 - eSafe 7.0.17.0 2008.07.28 - eTrust-Vet 31.6.5989 2008.07.28 - Ewido 4.0 2008.07.28 - F-Prot 4.4.4.56 2008.07.28 - F-Secure 7.60.13501.0 2008.07.28 - Fortinet 3.14.0.0 2008.07.28 - GData 2.0.7306.1023 2008.07.28 - Ikarus T3.1.1.34.0 2008.07.28 - Kaspersky 7.0.0.125 2008.07.28 - McAfee 5348 2008.07.28 - Microsoft 1.3704 2008.07.28 - NOD32v2 3304 2008.07.28 - Norman 5.80.02 2008.07.28 - Panda 9.0.0.4 2008.07.28 - PCTools 4.4.2.0 2008.07.28 - Prevx1 V2 2008.07.28 - Rising 20.55.02.00 2008.07.28 - Sophos 4.31.0 2008.07.28 - Sunbelt 3.1.1536.1 2008.07.28 - Symantec 10 2008.07.28 - TheHacker 6.2.96.389 2008.07.25 - TrendMicro 8.700.0.1004 2008.07.28 - VBA32 3.12.8.1 2008.07.28 - ViRobot 2008.7.26.1311 2008.07.28 - VirusBuster 4.5.11.0 2008.07.28 - Webwasher-Gateway 6.6.2 2008.07.28 - weitere Informationen File size: 25088 bytes MD5...: d1e53dc57143f2584b1dd53b036c0633 SHA1..: 53f6e0e6130cf9f0177e6d48295ae9d84fb9f8fa SHA256: 66562aa550338571595975a81654834878c890126c8d513141a9903b72f9943d SHA512: 107162228aefdd96305c3460abada259180a64c71a5994eb2d41daaf97b43e7c 9a18ebdf509b4935ad0c4894846b14b2eca97bead304c73556902022b9b1b94f PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10050e5 timedatestamp.....: 0x41107b78 (Wed Aug 04 06:00:24 2004) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x4db8 0x4e00 6.01 510e211d12a2f009afb5f7a90cff9783 .data 0x6000 0x14c 0x200 1.86 cbb599f9267bf53209039d14a3574eb1 .rsrc 0x7000 0xce0 0xe00 3.76 8b4bed593db3a5e5efda36f52c878d12 ( 7 imports ) > USER32.dll: CreateWindowExW, DestroyWindow, RegisterClassExW, DefWindowProcW, LoadRemoteFonts, wsprintfW, GetSystemMetrics, GetKeyboardLayout, SystemParametersInfoW, GetDesktopWindow, LoadStringW, MessageBoxW, ExitWindowsEx, CharNextW > ADVAPI32.dll: RegOpenKeyExA, ReportEventW, RegisterEventSourceW, DeregisterEventSource, OpenProcessToken, RegCreateKeyExW, RegSetValueExW, GetUserNameW, RegQueryValueExW, RegOpenKeyExW, RegQueryInfoKeyW, RegCloseKey, RegQueryValueExA > CRYPT32.dll: CryptProtectData > WINSPOOL.DRV: SpoolerInit > ntdll.dll: RtlLengthSid, RtlCopySid, _itow, RtlFreeUnicodeString, DbgPrint, wcslen, wcscpy, wcscat, wcscmp, RtlInitUnicodeString, NtOpenKey, NtClose, _wcsicmp, memmove, NtQueryInformationToken, RtlConvertSidToUnicodeString > msvcrt.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, __setusermatherr, __getmainargs, _acmdln, exit, _cexit, _XcptFilter, _exit, _c_exit, _initterm, _adjust_fdiv > KERNEL32.dll: GetVersionExW, LocalFree, LocalAlloc, GetEnvironmentVariableW, SetEnvironmentVariableW, lstrlenW, lstrcpyW, FreeLibrary, GetProcAddress, LoadLibraryW, CompareFileTime, CloseHandle, lstrcatW, WaitForSingleObject, DelayLoadFailureHook, GetStartupInfoA, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, LoadLibraryA, InterlockedCompareExchange, LocalReAlloc, GetSystemTime, lstrcmpW, GetCurrentThread, SetThreadPriority, CreateThread, GetFileAttributesExW, GetSystemDirectoryW, SetCurrentDirectoryW, FormatMessageW, lstrcmpiW, GetCurrentProcess, GetUserDefaultLangID, GetCurrentProcessId, ExpandEnvironmentStringsW, SetEvent, OpenEventW, Sleep, GetLastError, SearchPathW, CreateProcessW ( 0 exports ) |
ähm soeben bekomme ich die Info von meiner besseren Hälfte das so eine Mail von UPS gekommen ist. Die Mail wurde gelesen und gelöscht. |
Sehr gut, bzw. schlecht. Die ntos.exe hast du wahrscheinlich gelöscht nehm ich an. Neuaufsetzen bleibt immernoch ein Muss, wenn du dich genau nach der Anleitung hier haltest, dauert dies keine 3 Std. Du kannst auch schwierige Schritte oder alles ausdrucken, das macht es einfacher. mfg |
also , PC neuaufsetzen ist die einzige Möglichkeit? |
Wenn du Wert auf ein vertrauenwürdiges System legst und dir das nicht egal ist, das all deine Passwörter und Zugangsdaten als bekannt anzusehen sind, ja. |
ok:heulen: dann beiße ich mal in den sauren Apfel. Danke vielmals! |
So schlimm wird das schon nicht :daumenhoc Viel Glück dabei ;) mfg |
Alle Zeitangaben in WEZ +1. Es ist jetzt 02:51 Uhr. |
Copyright ©2000-2024, Trojaner-Board