Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Maleware nach internetseite (https://www.trojaner-board.de/57611-maleware-internetseite.html)

Swatt_1337 10.08.2008 16:32
Maleware nach internetseite
 
Auf chip.de haben sie mir geraten meinen pc neu aufzusetzen -.-
Ich denke aber das mein pc jetzt sauber ist.
Wollen die mir aber nicht glauben und sagen das letzte logfile wäre unnütz.

Das ganze kam so ... Ich gehe schon seit monaten auf die seite narutoget.com
heute aber kam mit dem firefox eine meldung das die seite gesperrt ist.
Dacht ich geh ich mal mit ie drauf und sofort viren über viren ... Dacht ich
Dann auch ein neues antivir prog namens Antivir xp oder so. Noch nie gesehen.
Es sagte mir ich hätte 2822 viren. Also erstmal mein normales antivir gestarted.
wollte immer wieder eine datei mit dem namens pphc7cuj0ego7.exe löschen.
die kam immer wieder . Ich googelte und nichts gefunden also gab ich das ein was runter stand.
Tr/Dldr.fraudloa.nc
kam auf ne französische website. Hab darauf Malewarebytes Antimaleware installiert.
Hat 2 und später dann 39 funde ergeben. Danach nichts mehr.
So und hier sind 4 logs ... ( ein 5 nach system neustart )

PHP-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:22:20on 10.08.2008
PlatformWindows XP SP2 (WinNT 5.01.2600)
MSIEInternet Explorer v6.00 SP2 (6.00.2900.2180)
Boot modeNormal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\PROGRA~1\MICROS~2\MSSQL\binn\sqlservr.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Hamachi\hamachi.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\totalcmd\TOTALCMD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 BHOJava(tmPlug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 BHOJava(tmPlug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 BHOJQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 HKLM\..\Run: [Logitech Hardware Abstraction LayerKHALMNPR.EXE
O4 HKLM\..\Run: [NvCplDaemonRUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 HKLM\..\Run: [nwiznwiz.exe /install
O4 HKLM\..\Run: [NvMediaCenterRUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 HKLM\..\Run: [Tweak UI 1.33 deutschRUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 HKLM\..\Run: [BootSkin Startup Jobs"C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" /StartupJobs
O4 HKLM\..\Run: [avgnt"C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 HKLM\..\Run: [NeroFilterCheckC:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 HKLM\..\Run: [NBKeyScan"C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 HKLM\..\Run: [SunJavaUpdateSched"C:\Programme\Java\jre6\bin\jusched.exe"
O4 HKLM\..\Run: [TkBellExe"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 HKLM\..\Run: [MSConfigC:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 HKCU\..\Run: [CTFMON.EXEC:\WINDOWS\system32\ctfmon.exe
O4 HKCU\..\Run: [STYLEXPC:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 HKUS\S-1-5-19\..\Run: [CTFMON.EXEC:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 HKUS\S-1-5-20\..\Run: [CTFMON.EXEC:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 HKUS\S-1-5-18\..\Run: [CTFMON.EXEC:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 HKUS\.DEFAULT\..\Run: [CTFMON.EXEC:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 Startuphamachi.lnk C:\Programme\Hamachi\hamachi.exe
O4 - Global StartupLogitech SetPoint.lnk C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global StartupService Manager.lnk C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O9 Extra buttonICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 Extra 'Tools' menuitemICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 Extra buttonMessenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 Extra 'Tools' menuitemWindows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 HKLM\System\CCS\Services\Tcpip\..\{27022E4E-8690-4240-8A79-50217DC64C23}: NameServer 192.168.0.1
O17 HKLM\System\CS1\Services\Tcpip\..\{27022E4E-8690-4240-8A79-50217DC64C23}: NameServer 192.168.0.1
O17 HKLM\System\CS2\Services\Tcpip\..\{27022E4E-8690-4240-8A79-50217DC64C23}: NameServer 192.168.0.1
O23 ServiceAvira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 ServiceAvira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 ServiceJava Quick Starter (JavaQuickStarterService) - Sun MicrosystemsInc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 ServiceNero BackItUp Scheduler 3 Nero AG C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 ServiceNMIndexingService Nero AG C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 ServiceNVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation C:\WINDOWS\system32\nvsvc32.exe
O23 ServiceCyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner C:\Programme\Cyberlink\Shared files\RichVideo.exe (file missing)
O23 ServiceStyleXPService Unknown owner C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

--
End of file 5736 bytes 
PHP-Code:
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1036
Windows 5.1.2600 Service Pack 2

13:11:10 10.08.2008
mbam-log-8-10-2008 (13-11-10).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 51572
Laufzeit: 17 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden) 
diesen scan hab ich dann abgebrochen ... ka warum
PHP-Code:
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1036
Windows 5.1.2600 Service Pack 2

15:00:20 10.08.2008
mbam-log-8-10-2008 (15-00-20).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 277185
Laufzeit: 1 hour(s), 34 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 12
Infizierte Dateien: 15

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhc3cuj0eg07 (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhc3cuj0eg07 (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winsys2 (Spyware.OnlineGames) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\rhc3cuj0eg07 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Swatty\Anwendungsdaten\rhc3cuj0eg07 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Swatty\Anwendungsdaten\rhc3cuj0eg07\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Swatty\Anwendungsdaten\rhc3cuj0eg07\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Swatty\Anwendungsdaten\rhc3cuj0eg07\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Swatty\Anwendungsdaten\rhc3cuj0eg07\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Swatty\Anwendungsdaten\rhc3cuj0eg07\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Swatty\Anwendungsdaten\rhc3cuj0eg07\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Swatty\Anwendungsdaten\rhc3cuj0eg07\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Swatty\Anwendungsdaten\rhc3cuj0eg07\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Swatty\Anwendungsdaten\rhc3cuj0eg07\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Swatty\Anwendungsdaten\rhc3cuj0eg07\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\rhc3cuj0eg07\database.dat (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhc3cuj0eg07\license.txt (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhc3cuj0eg07\MFC71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhc3cuj0eg07\MFC71ENU.DLL (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhc3cuj0eg07\msvcp71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhc3cuj0eg07\msvcr71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhc3cuj0eg07\rhc3cuj0eg07.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhc3cuj0eg07\rhc3cuj0eg07.exe.local (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhc3cuj0eg07\Uninstall.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WinSys2.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\~.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphc7cuj0eg07.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phc7cuj0eg07.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Desktop\Antivirus XP 2008.lnk (Rogue.Antivirus) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Swatty\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully. 
PHP-Code:
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1036
Windows 5.1.2600 Service Pack 2

16:52:06 10.08.2008
mbam-log-8-10-2008 (16-52-06).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 276606
Laufzeit: 1 hour(s), 40 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden) 
Hier nochmal eins nach systemneustart -.- nich das der virus wieder da ist (denke nicht .... )

PHP-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:37:54on 10.08.2008
PlatformWindows XP SP2 (WinNT 5.01.2600)
MSIEInternet Explorer v6.00 SP2 (6.00.2900.2180)
Boot modeNormal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\PROGRA~1\MICROS~2\MSSQL\binn\sqlservr.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Hamachi\hamachi.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 BHOJava(tmPlug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 BHOJava(tmPlug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 BHOJQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 HKLM\..\Run: [Logitech Hardware Abstraction LayerKHALMNPR.EXE
O4 HKLM\..\Run: [NvCplDaemonRUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 HKLM\..\Run: [nwiznwiz.exe /install
O4 HKLM\..\Run: [NvMediaCenterRUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 HKLM\..\Run: [Tweak UI 1.33 deutschRUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 HKLM\..\Run: [BootSkin Startup Jobs"C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" /StartupJobs
O4 HKLM\..\Run: [avgnt"C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 HKLM\..\Run: [NeroFilterCheckC:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 HKLM\..\Run: [NBKeyScan"C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 HKLM\..\Run: [SunJavaUpdateSched"C:\Programme\Java\jre6\bin\jusched.exe"
O4 HKLM\..\Run: [TkBellExe"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 HKLM\..\Run: [MSConfigC:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 HKCU\..\Run: [CTFMON.EXEC:\WINDOWS\system32\ctfmon.exe
O4 HKCU\..\Run: [STYLEXPC:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 HKUS\S-1-5-19\..\Run: [CTFMON.EXEC:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 HKUS\S-1-5-20\..\Run: [CTFMON.EXEC:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 HKUS\S-1-5-18\..\Run: [CTFMON.EXEC:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 HKUS\.DEFAULT\..\Run: [CTFMON.EXEC:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 Startuphamachi.lnk C:\Programme\Hamachi\hamachi.exe
O4 - Global StartupLogitech SetPoint.lnk C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global StartupService Manager.lnk C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O9 Extra buttonICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 Extra 'Tools' menuitemICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 Extra buttonMessenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 Extra 'Tools' menuitemWindows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 HKLM\System\CCS\Services\Tcpip\..\{27022E4E-8690-4240-8A79-50217DC64C23}: NameServer 192.168.0.1
O17 HKLM\System\CS1\Services\Tcpip\..\{27022E4E-8690-4240-8A79-50217DC64C23}: NameServer 192.168.0.1
O17 HKLM\System\CS2\Services\Tcpip\..\{27022E4E-8690-4240-8A79-50217DC64C23}: NameServer 192.168.0.1
O23 ServiceAvira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 ServiceAvira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 ServiceJava Quick Starter (JavaQuickStarterService) - Sun MicrosystemsInc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 ServiceNero BackItUp Scheduler 3 Nero AG C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 ServiceNMIndexingService Nero AG C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 ServiceNVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation C:\WINDOWS\system32\nvsvc32.exe
O23 ServiceCyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner C:\Programme\Cyberlink\Shared files\RichVideo.exe (file missing)
O23 ServiceStyleXPService Unknown owner C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

--
End of file 5634 bytes 
Hoffe auf schnelle hilfe

cosinus 11.08.2008 12:14
Zitat:
Auf chip.de haben sie mir geraten meinen pc neu aufzusetzen -.-
Wie wärs mit dem Link zu Deinem Fred im Chipforum?

Swatt_1337 11.08.2008 13:19
http://forum.chip.de/viren-trojaner-wuermer/omg-virus-1059392.html

cosinus 11.08.2008 15:39
Ich geh mal fest davon aus daß Markus (mmk) Dir nicht umsonst den gut gemeinten Rat mit der Neuinstallation gegeben hat. :rolleyes:

Aber wenn Du unbedingt den sicheren Weg vermeiden willst... :balla:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
Bitte nach der Bereinigung auf SP3 und IE7 aktualisieren!

Swatt_1337 11.08.2008 18:27
-.- mach mein pc ja schon neu.
Warum ie 7 ? benutz ihn nie
Warum sp 3 läuft auch ohne sehe keinerlei vorteile und viele zeitschriften wie z.b pc go oder computer technik empfehlen dies nicht.
Doch mich interessiert was combofix macht. Was steht denn in diesem log was woanders nicht steht ?

Silent sharK 11.08.2008 18:33
Zitat:
Warum ie 7 ? benutz ihn nie
Er gehört zum System und muss für Updates benutzt werden.
Da das System stets aktuell gehalten werden muss um ein malwarefreies Leben zu führen, gilt das Gleiche auch für den IE7.
Zitat:
Warum sp 3 läuft auch ohne sehe keinerlei vorteile und viele zeitschriften wie z.b pc go oder computer technik empfehlen dies nicht.
Warum SP3? Wieso fragst du denn nicht gleich, wieso überhaupt Updates und Sicherheitspatches?
SP3 stopft nunmal Sicherheitslücken, ob dus nun willst, oder nicht. ;)

Edit:
Zitat:
AW: Maleware nach internetseite
Passiert nur durch fehlende Sicherheitsupdates, bzw. surfen mit einem uralten IE.

Swatt_1337 11.08.2008 18:35
ok egal ^^ ich hab woanders noch geles auch hier im forum das malewarebyte antivirus xp 2008 entfernen soll -.- Das ist das was ich hatte und maleware bytes war das was ich als erstes ausgefürt hatte. Trotzdem pc neu formatieren ?

Silent sharK 11.08.2008 18:38
Klick mal auf den Link für Technische Kompromittierung in meiner Signatur.
Lies dir das durch, dann kannst du dich immernoch entscheiden ob du nun Neuaufsetzen willst, oder nicht. ;)

Du wirst zu nichts gezwungen, das hier sind nur gut gemeinte Ratschläge.

mfg

Swatt_1337 11.08.2008 18:47
ja mh versteh ich zwar nicht wirklich aber egal ^^ -.- mach ich halt neu.
Hab dann auch mal gegoogelt und da werden gleich mehrere möglichkeiten angepriesen das erfolgreich zu entfernen. auch alles nicht wahr ?
Außerdem ahbe ich keins der angegeben probleme von anderen usern nach entfernen von antivirus xp 08

Silent sharK 11.08.2008 18:52
Du kannst mit deinem Rechner machen was du willst, es ist ja deiner. ;)
In Zukunft würd ich mich mit einem Image-Programm wie Acronis True Image auseinandersetzen.
Damit kannst du ein sauberes Image innerhalb wenigen Minuten zurückspielen, das macht das "neuaufsetzen" wesentlich einfacher und zeitsparender.

mfg

Swatt_1337 11.08.2008 18:55
jaja kenn ich ^^ hab ich auch nur halt kein image gemacht. bzw is zu alt.
doch ich werd meinen pc doch nicht neu machen.
Da ich den virus der ja wirklich nur zum geldmachen da ist denke ich eh nicht mehr habe -.-

hier bin nochmal nach diesem tut vorgegangen

http://forum.hijackthis.de/showthread.php?t=25728

cosinus 12.08.2008 12:11
Hallo

Warum liest Du nicht das Tutorial von CF? Da steht im groben eigentlich alles Wissenswerte zu CF drin... :rolleyes:

Swatt_1337 12.08.2008 14:24
-.- hab ihn neu gemacht ^^


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:58 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131