Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner der IE im Hintergrund öffnet (https://www.trojaner-board.de/57942-trojaner-ie-hintergrund-oeffnet.html)

rJae 15.08.2008 16:21
Trojaner der IE im Hintergrund öffnet
 
Ich hatte schonmal ins forum gepostet hatte keine Antwort bekommen.

Habe mit HiJack gearbeitet und mit eScan wie es hier meistens empfohlen wird.Aber trotz der bemühungen öffnet sich IE immernoch im Hintergrund aber ohne mir was konkret anzuzeigen. Ich kann den Prozeß dann auch nur über den task Manger schließen.

einmal mein log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:13:53, on 15.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\PROGRA~1\eScan\VISTA\avpmapp.exe
D:\WINDOWS\system32\RunDll32.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
D:\Programme\Microsoft IntelliType Pro\itype.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\iTunes\iTunesHelper.exe
D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
D:\WINDOWS\system32\igfxpers.exe
D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
D:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
D:\WINDOWS\mrofinu2000352.exe
D:\Programme\Cyberlink\Shared files\RichVideo.exe
D:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
D:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\eScan\consctl.exe
D:\Programme\Skra\Skra.exe
D:\Programme\GetPack\GetPack20.exe
D:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: testCPV6 - {15421B84-3488-49A7-AD18-CBF84A3EFAF6} - D:\Programme\Webtools\webtools.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: HelloWorldBHO - {D88E1558-7C2D-407A-953A-C044F5607CEA} - D:\Programme\Mjcore\Mjcore.dll
O2 - BHO: bannerstyle browser optimizer - {dd77cfe2-0f4d-9a86-d7bb-e32b4fa10a01} - D:\WINDOWS\system32\uhweobvenfltvh.dll
O4 - HKLM\..\Run: [HGTXPEI] D:\WINDOWS\system32\FirstReboot.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [itype] "D:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ISUSPM] "D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [Persistence] D:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [runner1] D:\WINDOWS\mrofinu2000352.exe 61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKLM\..\Run: [{0d6e57b7-bdb0-c72b-b98c-37ddfe6d0231}] D:\WINDOWS\System32\Rundll32.exe "D:\WINDOWS\system32\uhweobvenfltvh.dll" DllStart
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\PROGRA~1\eScan\LAUNCH.EXE" /startup
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Skra] D:\Programme\Skra\Skra.exe
O4 - HKCU\..\Run: [GetPack20] "D:\Programme\GetPack\GetPack20.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = D:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - D:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\VISTA\avpmapp.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - D:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - D:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - D:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6669 bytes

eScan hat noch Sachen gelöscht.
Aber trotz der bemühungen öffnet sich IE immernoch im Hintergrund aber ohne mir was konkret anzuzeigen. Ich kann den Prozeß dann auch nur über den task Manger schließen.

Bitte diesmal wirklich um eine Antwort mfg

rJae

undoreal 15.08.2008 18:53
Halli hallo rJae
:hallo:

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
  • Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update der Viren-Signaturen deines Anti-Viren Programmes.
    .
  • Treiberupdate der Hardware (Grafikkarte, Soundkarte).
    .
  • Windows Update -> Der Frischmacher.
    .
  • Vernünftige Ordneransicht -> Einstellungen.
    .
  • Abschalten unnötiger Dienste:
    XP_ dingens.org
    Vista_ TechNET
    .
  • Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
    XP_ Firewall
    Vista_ Firewall
    .
    Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

    Häufig gestellte Fragen: XP | Vista

Zitat:
eScan hat noch Sachen gelöscht.
Was für sachen? Es ist sehr wichtig, dass du uns alle Informationen zukommen lässt die dir vorliegen!


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
D:\WINDOWS\mrofinu2000352.exe
D:\Programme\GetPack\GetPack20.exe
D:\Programme\Webtools\webtools.dll
D:\Programme\Mjcore\Mjcore.dll
D:\WINDOWS\system32\uhweobvenfltvh.dll
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


Fixe danach folgende Einträge mit HJT:
Zitat:
D:\WINDOWS\mrofinu2000352.exe
D:\Programme\GetPack\GetPack20.exe
O2 - BHO: testCPV6 - {15421B84-3488-49A7-AD18-CBF84A3EFAF6} - D:\Programme\Webtools\webtools.dll
O2 - BHO: HelloWorldBHO - {D88E1558-7C2D-407A-953A-C044F5607CEA} - D:\Programme\Mjcore\Mjcore.dll
O2 - BHO: bannerstyle browser optimizer - {dd77cfe2-0f4d-9a86-d7bb-e32b4fa10a01} - D:\WINDOWS\system32\uhweobvenfltvh.dll
O4 - HKLM\..\Run: [runner1] D:\WINDOWS\mrofinu2000352.exe 61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661 AA4EBD86D67C56389B284534F310
O4 - HKLM\..\Run: [{0d6e57b7-bdb0-c72b-b98c-37ddfe6d0231}] D:\WINDOWS\System32\Rundll32.exe "D:\WINDOWS\system32\uhweobvenfltvh.dll" DllStart
O4 - HKCU\..\Run: [GetPack20] "D:\Programme\GetPack\GetPack20.exe"
Danach:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Files to delete:
D:\WINDOWS\system32\uhweobvenfltvh.dll
D:\WINDOWS\mrofinu2000352.exe
D:\WINDOWS\mrofinu2000352.exe


Folders to delete:
D:\Programme\GetPack
D:\Programme\Mjcore
D:\Programme\Webtools
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

rJae 16.08.2008 02:10
Guten Abend,
und danke erstmal für deinen Aufwand und für die Begrüßung!

***Ich fange ersmal an mit SecuniaPsi:

Unsichere Programme waren Adobe Acrobat Reader und der VLC Player.
Den VLC Player habe ich trotz update nicht als Unsicher entfernen können bei dem Adobe Reade 8.x hatte ich die Fehlermeldung "No qualifying products fount to apply this Update"
heisst das jetzt er findest mein Adobe nicht?

nebenbei habe ich noch eScan laufen lassen das ergab;

Datei D:\WINDOWS\mrofinu2000352.exe infiziert durch den Virus "Trojan-Downloader.Win32.Homles.bz"! Maßnahme ergriffen: Datei gelöscht.
Datei D:\Programme\Skra\Skra.exe infiziert durch den Virus "Trojan.Win32.Multis.cx"! Maßnahme ergriffen: Datei gelöscht.
Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.
Objekt "win32.agent.bls Trojan" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.
Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.
Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.
Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.
Objekt "savenow Adware" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.
Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.
Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.
Objekt "backdoor (ircbot) trojans Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.
Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.
Objekt "combo Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.
Objekt "Possible Fujacks-type Worm" im Dateisystem gefunden! Maßnahme ergriffen: Einträge entfernt.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "D:\WINDOWS\system32\unrar.dll". Maßnahme ergriffen: Einträge entfernt.
Datei D:\WINDOWS\b156.exe infiziert durch den Virus "Trojan.Win32.Multis.cw"! Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP11\A0004879.exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011274.exe//PE_Patch.UPX//UPX infiziert durch den Virus "Trojan-Downloader.Win32.PurityScan.fj"! Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011275.dll//PE_Patch.PECompact//PecBundle//PECompact markiert als "not-a-virus:AdWare.Win32.PurityScan.if". Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011276.exe infiziert durch den Virus "Trojan-Downloader.Win32.Agent.ezc"! Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011277.exe infiziert durch den Virus "Trojan-Downloader.Win32.Agent.jih"! Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011291.exe//UPX infiziert durch den Virus "Trojan-Downloader.Win32.Agent.qqn"! Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011292.exe//UPX infiziert durch den Virus "Trojan-Downloader.Win32.Agent.pbq"! Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011307.exe//PE_Patch.PECompact//PecBundle//PECompact markiert als "not-a-virus:AdWare.Win32.PurityScan.id". Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011315.exe/keygen.exe infiziert durch den Virus "Trojan-Downloader.Win32.Small.yxa"! Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011316.exe/keygen.exe infiziert durch den Virus "Trojan-Downloader.Win32.Small.yxa"! Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011317.exe/keygen.exe infiziert durch den Virus "Trojan-Downloader.Win32.Small.yxa"! Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011318.exe//PE_Patch.Upolyx//PE_Patch.UPX//UPX infiziert durch den Virus "Trojan-Downloader.Win32.Small.yxa"! Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011319.exe infiziert durch den Virus "Trojan.Win32.Monderb.fkc"! Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011320.exe infiziert durch den Virus "Trojan.Win32.Dialer.dcg"! Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011455.dll infiziert durch den Virus "Trojan-Clicker.Win32.Agent.bip"! Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011456.exe infiziert durch den Virus "Trojan-Spy.Win32.Agent.due"! Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011457.exe infiziert durch den Virus "Trojan-Downloader.Win32.Homles.bz"! Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011458.exe infiziert durch den Virus "Trojan.Win32.Multis.cx"! Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011461.dll markiert als "not-a-virus:AdWare.Win32.ZenoSearch.ad". Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011463.exe//PE_Patch.PECompact//PecBundle//PECompact infiziert durch den Virus "Trojan.Win32.Scapur.k"! Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011464.exe//data0001 markiert als "not-a-virus:AdWare.Win32.PurityScan.gp". Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011466.exe infiziert durch den Virus "Trojan.Win32.Multis.cw"! Maßnahme ergriffen: Datei gelöscht.



Ich denke nicht das du die ganze Logfile haben willst oder??

Danach sollte ich den Rechner neustarten dann bekamm ich folgende fehlermeldungen

"RUNDLL
Fehler beim Laden von D:\WINDOWS\system32uhweobvenfltvh.dll
Das angegebene Modul wurde nich gefunden"

"DAEMOn Tools Lite
Initialization error 2.
This programm requires at leat windows 2000 with SPTD 1.53 or higher.
Kernel debugger must be deactivated."

und mein Internet funktioniert nicht.Das Problem lag daran das er keine Ip Adresse beziehen könnte. Firefox melde sich im Offline Modus
an.

Internet funktionierte nachdem ich Windows dienste wieder zurück gestellt habe




***Ich werde jetzt die Dateien Online Prüfen:

---------->D:\WINDOWS\mrofinu2000352.exe
hab ich nicht gefunden.


---------->D:\Programme\GetPack\GetPack20.exe
Die Datei wurde bereits analysiert:
MD5: 428f40660552b6360cefacd0b7dfee46
First received: 2008.07.24 20:15:51 (CET)
Datum 2008.08.04 08:52:08 (CET) [>11D]
Ergebnisse 2/36
Permalink: analisis/a741f4f94358adf6ecd4d7ec9b9e5244

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.15 -
Authentium 5.1.0.4 2008.08.16 -
Avast 4.8.1195.0 2008.08.15 -
AVG 8.0.0.161 2008.08.15 -
BitDefender 7.2 2008.08.16 -
CAT-QuickHeal 9.50 2008.08.14 -
ClamAV 0.93.1 2008.08.16 -
DrWeb 4.44.0.09170 2008.08.15 -
eSafe 7.0.17.0 2008.08.14 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.15 -
F-Prot 4.4.4.56 2008.08.15 -
F-Secure 7.60.13501.0 2008.08.15 -
Fortinet 3.14.0.0 2008.08.15 -
GData 2.0.7306.1023 2008.08.16 -
Ikarus T3.1.1.34.0 2008.08.16 AdWare.SpeedMonitor
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.16 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.16 -
NOD32v2 3360 2008.08.15 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.15 -
PCTools 4.4.2.0 2008.08.15 -
Prevx1 V2 2008.08.16 Suspicious
Rising 20.57.42.00 2008.08.15 -
Sophos 4.32.0 2008.08.16 -
Sunbelt 3.1.1546.1 2008.08.15 Hyperlinks Rotator
Symantec 10 2008.08.16 -
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.15 -
VBA32 3.12.8.3 2008.08.15 -
ViRobot 2008.8.14.1337 2008.08.14 -
VirusBuster 4.5.11.0 2008.08.15 -
Webwasher-Gateway 6.6.2 2008.08.16 -

-------->D:\Programme\Webtools\webtools.dll
Der Ordner ist leer

-------->D:\Programme\Mjcore\Mjcore.dll
MD5: 8311b576511ef765100672ef84eabb8d
First received: 2008.08.10 13:18:32 (CET)
Datum 2008.08.15 17:43:30 (CET) [<1D]
Ergebnisse 7/35
Permalink: analisis/24d1608d42edc22b272acbccbf71aac4

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.15 ADSPY/Bho.EC
Authentium 5.1.0.4 2008.08.16 -
Avast 4.8.1195.0 2008.08.15 Win32:Adware-gen
AVG 8.0.0.161 2008.08.15 -
BitDefender 7.2 2008.08.16 -
CAT-QuickHeal 9.50 2008.08.14 -
ClamAV 0.93.1 2008.08.16 -
DrWeb 4.44.0.09170 2008.08.15 -
eSafe 7.0.17.0 2008.08.14 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.15 -
F-Prot 4.4.4.56 2008.08.15 -
F-Secure 7.60.13501.0 2008.08.15 -
Fortinet 3.14.0.0 2008.08.15 -
GData 2.0.7306.1023 2008.08.16 Win32:Adware-gen
Ikarus T3.1.1.34.0 2008.08.16 Virus.Win32.AdWare
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.16 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.16 -
NOD32v2 3360 2008.08.15 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.15 Adware/JavaCore
PCTools 4.4.2.0 2008.08.15 -
Prevx1 V2 2008.08.16 Malicious Software
Rising 20.57.42.00 2008.08.15 -
Sophos 4.32.0 2008.08.16 -
Sunbelt 3.1.1546.1 2008.08.15 Adware.BHO.gen
Symantec 10 2008.08.16 -
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.15 -
VBA32 3.12.8.3 2008.08.15 -
ViRobot 2008.8.14.1337 2008.08.14 -
VirusBuster 4.5.11.0 2008.08.15 -
Webwasher-Gateway 6.6.2 2008.08.16 Ad-Spyware.Bho.EC

----->D:\WINDOWS\system32\uhweobvenfltvh.dll
die ist nicht mehr vorhanden.

Wenn ich mit dem eScan von vorhin Probleme verusacht habe entschuldige ich mich schonmal im vorraus ich finde es super nett da du so hilfsbreit bist!


***Jetzt werde ich die Daten Fixen über Hijackthis

Die habe ich nicht mehr gefunden:
D:\WINDOWS\mrofinu2000352.exe
D:\Programme\GetPack\GetPack20.exe
O2 - BHO: testCPV6 - {15421B84-3488-49A7-AD18-CBF84A3EFAF6} - D:\Programme\Webtools\webtools.dll
O2 - BHO: bannerstyle browser optimizer - {dd77cfe2-0f4d-9a86-d7bb-e32b4fa10a01} - D:\WINDOWS\system32\uhweobvenfltvh.dll
O4 - HKLM\..\Run: [runner1] D:\WINDOWS\mrofinu2000352.exe
61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661 AA4EBD86D67C56389B284534F310


***Jetzt der Avenger
wie angegeben werde ich das jetzt posten
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at D:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "D:\WINDOWS\system32\uhweobvenfltvh.dll" not found!
Deletion of file "D:\WINDOWS\system32\uhweobvenfltvh.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "D:\WINDOWS\mrofinu2000352.exe" not found!
Deletion of file "D:\WINDOWS\mrofinu2000352.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "D:\WINDOWS\mrofinu2000352.exe" not found!
Deletion of file "D:\WINDOWS\mrofinu2000352.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "D:\Programme\GetPack" deleted successfully.
Folder "D:\Programme\Mjcore" deleted successfully.
Folder "D:\Programme\Webtools" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Soweit so gut (hoffe ich) das einzige was ich jetzt nicht mehr benutzt habe ist das "Windows dienste"
damit ist das internet Problem gelöst und "anscheinend" auch "RUNDLL
Fehler beim Laden von D:\WINDOWS\system32uhweobvenfltvh.dll
Das angegebene Modul wurde nich gefunden"

Ich kann mich nur nochmal für die Mühe bedanken :aplaus: !!!

mfg rJae

undoreal 16.08.2008 07:25
Räume bitte mit cCleaner ein bischen auf und poste noch ein aktuelles HJT log.

rJae 16.08.2008 11:01
Hallo,

CCleaner verwendet
Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:54:34, on 16.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\PROGRA~1\eScan\VISTA\avpmapp.exe
D:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\CyberLink\PowerCinema\PCMService.exe
D:\Programme\Microsoft IntelliType Pro\itype.exe
D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
D:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\iTunes\iTunesHelper.exe
D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
D:\WINDOWS\system32\igfxpers.exe
D:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
D:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\consctl.exe
D:\Programme\VnrBlock\VnrBlock20.exe
D:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Programme\Secunia\PSI (RC3)\psi.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
D:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\eScan\Vista\eScanMon.exe
D:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
D:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [HGTXPEI] D:\WINDOWS\system32\FirstReboot.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [itype] "D:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ISUSPM] "D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [Persistence] D:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\PROGRA~1\eScan\LAUNCH.EXE" /startup
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [VnrBlock20] "D:\Programme\VnrBlock\VnrBlock20.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI (RC3).lnk = C:\Programme\Secunia\PSI (RC3)\psi.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = D:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - D:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\VISTA\avpmapp.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - D:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - D:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - D:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - D:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6032 bytes


Dann noch 2 Fragen:
1. Habe ich den Rechner befreit und auch "relativ" sicher gemacht oder was das jetzt nur notwenig den Virus/Wurm zu entfernen ?

2. Was ist mit Windows Dienste? kann ich das benutzten? Woher kommen die Fehler?


Gruß rJae

P.S. Der IE öffnet jetzt wieder komplette Fenster

rJae 17.08.2008 02:08
Ich habe 2 verwarnung erhalten wird der Thread jetzt nicht mehr weiter geführt ?
Tut mir ja leid aber auf meinem ersten Thread würde nicht geantwortet.

kommt nicht nochmal vor..

Gruß rJae

KarlKarl 17.08.2008 04:05
Hi,

naja, Du sollst schließlich nicht unwissend formatieren. wenn solche Einträge auftauchen
Zitat:
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011315.exe/keygen.exe infiziert durch den Virus "Trojan-Downloader.Win32.Small.yxa"! Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011316.exe/keygen.exe infiziert durch den Virus "Trojan-Downloader.Win32.Small.yxa"! Maßnahme ergriffen: Datei gelöscht.
Datei D:\System Volume Information\_restore{6B11C7FD-9629-45FC-B6BD-35B1BC59A492}\RP21\A0011317.exe/keygen.exe infiziert durch den Virus "Trojan-Downloader.Win32.Small.yxa"! Maßnahme ergriffen: Datei gelöscht.
dann hat eigentlich kaum noch jemand Lust, seine Zeit daran zu verschwenden.

Nutzer solcher Tools haben ihren Rechner schneller wieder verseucht, als man ihn sauber machen könnte. Formatieren und neu installieren ist einfach und schnell, das schaffst Du auch locker ohne Hilfe.

Ich gehöre nicht zu den Unglücklichen, die hier verwarnen dürfen/müssen. Dann gäbe es nämlich die rote Karte.

Karl

rJae 17.08.2008 12:16
Oh ich sehe, danke ersma für deine ehrliche Antwort.

Ich hatte mein Rechner formatiert und viele sachen neu installiert. Kann man sagen voher der Keygen ist? Kann ich den irgendwie so entfernen?

Oder ist Formatieren ist die einige chance?


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:39 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131