Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR Vundo.gen Befall und noch weitere? (https://www.trojaner-board.de/65822-tr-vundo-gen-befall-noch.html)

Blubberb 04.12.2008 19:43
TR Vundo.gen Befall und noch weitere?
 
Hallo Zusammen!
Habe bisher nur gutes über euer Forum gelesen und hoffe Ihr könnt mir helfen!

Habe seit ein paar Tagen immer wieder popups von Antivir (ca.4 in folge) mit Meldungen über TR/Vundo.gen und andere. klick immer auf löschen, aber das scheint nicht zu funktionieren. Habe zusätzlich jetzt Malwarebytes heruntergeladen und installiert. Allerdings funktioniert das Updaten nicht. Auch SUPERAntispyware kann nicht updaten. Sicher hat das auch was mit dem Virus zu tun. Habe bei meiner bisherigen recherche gesehn das man die Systemwiederherstellung deaktivieren soll(gemacht) und versteckte Dateien anzeigen lassen(gemacht) soll. Außerdem hab ich jegliche Javasoftware in Systemsteuerung/Software deinstalliert. Dabei entdeckte ich außerdem eine Programm Mirar, das ich nicht deinstallieren konnte. Weitere suche ergab: auch das ein Virus/adware. Ohje.... Dachte immer ich sei vor sowas gefeit. Bitte hilfe!!

Anbei das Avira Antivir Logfile des letzten scans und das HijackThis Logfile. Was soll ich machen? Werden sonst noch Logfiles benötigt?

Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 4. Dezember 2008  18:37

Es wird nach 1073970 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:  (Service Pack 3)  [5.1.2600]
Boot Modus:      Normal gebootet
Benutzername:    Benni
Computername:    CHECKTHIS

Versionsinformationen:
BUILD.DAT    : 8.2.0.337      16934 Bytes  18.11.2008 13:01:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  25.11.2008 17:29:39
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 11:27:06
LUKE.DLL      : 8.1.4.5      164097 Bytes  12.06.2008 12:44:16
LUKERES.DLL  : 8.1.4.0        12545 Bytes  09.05.2008 11:40:42
ANTIVIR0.VDF  : 7.1.0.0    15603712 Bytes  27.10.2008 21:34:39
ANTIVIR1.VDF  : 7.1.0.56      411136 Bytes  09.11.2008 20:08:05
ANTIVIR2.VDF  : 7.1.0.160    571392 Bytes  30.11.2008 15:38:13
ANTIVIR3.VDF  : 7.1.0.188    199680 Bytes  04.12.2008 16:46:14
Engineversion : 8.2.0.41 
AEVDF.DLL    : 8.1.0.6      102772 Bytes  15.10.2008 18:20:58
AESCRIPT.DLL  : 8.1.1.17      336251 Bytes  04.12.2008 16:46:17
AESCN.DLL    : 8.1.1.5      123251 Bytes  07.11.2008 17:30:00
AERDL.DLL    : 8.1.1.3      438645 Bytes  05.11.2008 17:30:07
AEPACK.DLL    : 8.1.3.4      393591 Bytes  11.11.2008 20:07:29
AEOFFICE.DLL  : 8.1.0.31      196987 Bytes  04.12.2008 16:46:16
AEHEUR.DLL    : 8.1.0.74    1519990 Bytes  04.12.2008 16:46:16
AEHELP.DLL    : 8.1.2.0      119159 Bytes  19.11.2008 10:02:07
AEGEN.DLL    : 8.1.1.6      323955 Bytes  28.11.2008 18:09:24
AEEMU.DLL    : 8.1.0.9      393588 Bytes  15.10.2008 18:20:54
AECORE.DLL    : 8.1.5.2      172405 Bytes  28.11.2008 18:09:23
AEBB.DLL      : 8.1.0.3        53618 Bytes  15.10.2008 18:20:53
AVWINLL.DLL  : 1.0.0.12      15105 Bytes  09.07.2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:27:58
AVREP.DLL    : 8.0.0.2        98344 Bytes  30.09.2008 15:43:32
AVREG.DLL    : 8.0.0.1        33537 Bytes  09.05.2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:46
SQLITE3.DLL  : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL  : 1.2.0.23      28929 Bytes  12.06.2008 12:49:36
NETNT.DLL    : 8.0.0.1        7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL  : 8.0.0.51    2371841 Bytes  12.06.2008 13:45:01
RCTEXT.DLL    : 8.0.52.0      86273 Bytes  27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 4. Dezember 2008  18:37

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Adobelmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Adobelm_Cleanup.0001' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrodist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvraidservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '34' Prozesse mit '34' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '52' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Benni\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\opr02GQ9
    [0] Archivtyp: PDF Stream
    --> Object
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/Pidief.QG
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49aa16be.qua' verschoben!
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPZI8OMQ\swflash[2].cab
    [0] Archivtyp: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [WARNUNG]  Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PDQYO324\1[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Small.ageu

    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4969171c.qua' verschoben!
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJLXIHIN\apstpldr.dll[1].htm
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ab1739.qua' verschoben!
C:\WINDOWS\system32\paso.el
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Small.ageu
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49ab1c31.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 4. Dezember 2008  19:06
Benötigte Zeit: 28:27 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  3081 Verzeichnisse wurden überprüft
 310468 Dateien wurden geprüft
      4 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 310463 Dateien ohne Befall
  2650 Archive wurden durchsucht
      2 Warnungen
      4 Hinweise
und Hijackthis

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:26:58, on 04.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvraidservice.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\AcroDist.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Benni\Desktop\HiJackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe"
O4 - HKCU\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222789003937
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: c0023AED - c0023AED.mat (file missing)
O20 - Winlogon Notify: sys32 - sys32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5918 bytes

cosinus 04.12.2008 22:19
Hallo und :hallo:

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
C:\WINDOWS\system32\prunnet.exe
2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. Vor dem Ausführen von Malwarebytes den Wächter Deines Virenscanners abschalten!!

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
7.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Blubberb 04.12.2008 23:56
Hey!
Habe die Punkte wie folgt abgearbeitet:

1.) Ich habe die Ordneroption genau nach Anleitung umgestellt, kann aber prunnet.exe nicht finden. Was nun?

2.) Systemwiderherstellung ist deaktiviert.

3.)MBR
Code:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
4.)Blacklight
Code:
12/04/08 23:03:38 [Info]: BlackLight Engine 2.2.1092 initialized
12/04/08 23:03:38 [Info]: OS: 5.1 build 2600 (Service Pack 3)
12/04/08 23:03:38 [Note]: 7019 4
12/04/08 23:03:38 [Note]: 7005 0
12/04/08 23:03:43 [Note]: 7006 0
12/04/08 23:03:43 [Note]: 7011 1576
12/04/08 23:03:43 [Note]: 7035 0
12/04/08 23:03:43 [Note]: 7026 0
12/04/08 23:03:43 [Note]: 7026 0
12/04/08 23:03:44 [Note]: FSRAW library version 1.7.1024
Malwarebytes Update funktioniert, wie im oben beschrieben nicht(auch bei abgeschaltetem Antivir und Windowsfirewall). Aber der Stand des programms ist auf 12/3/2008. Hier das LogFile:

Code:
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1456
Windows 5.1.2600 Service Pack 3

04.12.2008 23:32:27
mbam-log-2008-12-04 (23-32-20).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|G:\|)
Durchsuchte Objekte: 103283
Laufzeit: 18 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sys32 (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prunnet (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prunnet (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\****\Anwendungsdaten\NI.GSCNS (Trojan.Agent) -> No action taken.

Infizierte Dateien:
C:\Dokumente und Einstellungen\****\Anwendungsdaten\NI.GSCNS\dl.ini (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\NI.GSCNS\settings.ini (Trojan.Agent) -> No action taken.
5.) Silentrunner ausgeführt:

http://www.file-upload.net/download-1296433/Startup-Programs--CHECKTHIS--2008-12-04-23.35.01.txt.html


6.) ComboFix:

Code:
ComboFix 08-12-04.04 - Benni 2008-12-04 23:48:53.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1582 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Benni\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\dokumente und einstellungen\Benni\Anwendungsdaten\NI.GSCNS
c:\dokumente und einstellungen\Benni\Anwendungsdaten\NI.GSCNS\dl.ini
c:\dokumente und einstellungen\Benni\Anwendungsdaten\NI.GSCNS\settings.ini
c:\programme\INSTALL.LOG
c:\windows\system32\sX3i19
c:\windows\Tasks\dhupkulu.job

----- BITS: Eventuell infizierte Webseiten -----

hxxp://kakoitodomen.com
hxxp://childhe.com
.
(((((((((((((((((((((((  Dateien erstellt von 2008-11-04 bis 2008-12-04  ))))))))))))))))))))))))))))))
.

2008-12-04 23:41 . 2008-12-04 23:41        <DIR>        d--------        c:\programme\CCleaner
2008-12-03 17:59 . 2008-12-04 23:09        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware
2008-12-03 17:59 . 2008-12-03 17:59        <DIR>        d--------        c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2008-12-03 17:59 . 2008-12-03 17:59        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-03 17:59 . 2008-12-03 19:52        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-03 17:59 . 2008-12-03 19:52        15,504        --a------        c:\windows\system32\drivers\mbam.sys
2008-12-01 16:07 . 2008-12-01 16:07        <DIR>        d--h-----        c:\windows\system32\CanonIJ Uninstaller Information
2008-12-01 16:07 . 2008-12-01 16:07        <DIR>        d--h-----        c:\programme\CanonBJ
2008-12-01 16:07 . 2008-12-01 16:07        <DIR>        d--h-----        c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-12-01 16:07 . 2008-04-22 06:00        230,912        --a------        c:\windows\system32\CNMLM9A.DLL
2008-12-01 16:04 . 2008-12-01 16:30        <DIR>        d--------        c:\programme\Canon
2008-11-26 17:58 . 2008-11-26 17:58        410,976        --a------        c:\windows\system32\deploytk.dll
2008-11-25 17:58 . 2008-11-25 17:58        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\2DBoy
2008-11-22 17:49 . 2008-12-01 21:03        <DIR>        d--------        c:\programme\Garena
2008-11-22 17:49 . 2008-11-22 17:49        <DIR>        d--------        c:\dokumente und einstellungen\****\Anwendungsdaten\InstallShield
2008-11-16 12:37 . 2008-11-16 12:37        <DIR>        d--------        c:\windows\Sun
2008-11-14 11:27 . 2008-11-14 11:27        <DIR>        d--------        c:\dokumente und einstellungen\****\Anwendungsdaten\pdf995
2008-11-14 11:27 . 2008-11-14 11:27        28        --a------        c:\windows\pdf995.ini
2008-11-14 11:25 . 2008-11-14 11:26        <DIR>        d--------        c:\programme\pdf995
2008-11-14 11:25 . 2008-11-25 13:26        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\pdf995
2008-11-14 11:25 . 2008-11-14 11:25        249,856        --a------        c:\windows\system32\pdfmona.dll
2008-11-14 11:25 . 2008-11-14 11:25        51,716        --a------        c:\windows\system32\pdf995mon.dll
2008-11-14 11:25 . 2008-11-25 13:26        60        --a------        c:\windows\wpd99.drv
2008-11-12 23:35 . 2008-10-24 12:21        455,296        -----c---        c:\windows\system32\dllcache\mrxsmb.sys
2008-11-12 23:34 . 2008-09-04 18:15        1,106,944        -----c---        c:\windows\system32\dllcache\msxml3.dll
2008-11-11 18:26 . 2008-11-11 18:26        <DIR>        d--------        c:\programme\SUPERAntiSpyware
2008-11-11 18:26 . 2008-11-11 18:26        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-11-11 18:26 . 2008-11-11 18:26        <DIR>        d--------        c:\dokumente und einstellungen\****\Anwendungsdaten\SUPERAntiSpyware.com
2008-11-11 18:26 . 2008-11-11 18:26        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-11-11 18:25 . 2008-11-11 18:25        0        --a------        c:\windows\nsreg.dat
2008-11-10 23:44 . 2008-11-10 23:44        0        --a------        c:\windows\ynh.dx
2008-11-10 19:42 . 2008-11-23 17:03        <DIR>        d--------        C:\Temp

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-01 14:45        ---------        d-----w        c:\programme\HP
2008-12-01 14:45        ---------        d-----w        c:\programme\Hewlett-Packard
2008-11-25 12:25        ---------        d-----w        c:\dokumente und einstellungen\Benni\Anwendungsdaten\OpenOffice.org2
2008-11-24 19:49        ---------        d-----w        c:\programme\mIRC
2008-11-22 16:49        ---------        d--h--w        c:\programme\InstallShield Installation Information
2008-11-16 15:29        ---------        d-----w        c:\programme\ICQ
2008-11-03 17:49        ---------        d-----w        c:\programme\Gemeinsame Dateien\Adobe
2008-10-24 12:47        ---------        d-----w        c:\programme\Gemeinsame Dateien\InstallShield
2008-10-24 11:21        455,296        ----a-w        c:\windows\system32\drivers\mrxsmb.sys
2008-10-21 18:59        ---------        d-----w        c:\programme\SopCast
2008-10-16 13:13        202,776        ----a-w        c:\windows\system32\wuweb.dll
2008-10-16 13:13        1,809,944        ----a-w        c:\windows\system32\wuaueng.dll
2008-10-16 13:12        561,688        ----a-w        c:\windows\system32\wuapi.dll
2008-10-16 13:12        323,608        ----a-w        c:\windows\system32\wucltui.dll
2008-10-16 13:09        92,696        ----a-w        c:\windows\system32\cdm.dll
2008-10-16 13:09        51,224        ----a-w        c:\windows\system32\wuauclt.exe
2008-10-16 13:09        43,544        ----a-w        c:\windows\system32\wups2.dll
2008-10-16 13:08        34,328        ----a-w        c:\windows\system32\wups.dll
2008-10-15 09:14        ---------        d-----w        c:\dokumente und einstellungen\Benni\Anwendungsdaten\dvdcss
2008-10-06 23:29        ---------        d-----w        c:\programme\MSXML 4.0
2008-10-05 22:02        ---------        d-----w        c:\dokumente und einstellungen\Benni\Anwendungsdaten\DivX
2008-10-05 12:12        ---------        d-----w        c:\dokumente und einstellungen\Benni\Anwendungsdaten\HP
2008-10-05 11:13        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP
2008-10-05 11:12        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sonic
2008-10-05 11:10        ---------        d-----w        c:\programme\Gemeinsame Dateien\Hewlett-Packard
2008-10-04 13:32        ---------        d-----w        c:\programme\DivX
2008-10-01 13:04        60,416        ----a-w        c:\windows\ALCFDRTM.EXE
2008-09-30 21:30        2,829        ----a-w        c:\windows\War3Unin.pif
2008-09-30 21:30        139,264        ----a-w        c:\windows\War3Unin.exe
2008-09-30 15:43        1,286,152        ----a-w        c:\windows\system32\msxml4.dll
2008-09-16 19:27        453,152        ----a-w        c:\windows\system32\NVUNINST.EXE
2008-09-16 00:14        524,288        ----a-w        c:\windows\system32\DivXsm.exe
2008-09-16 00:14        3,596,288        ----a-w        c:\windows\system32\qt-dx331.dll
2008-09-16 00:14        129,784        ------w        c:\windows\system32\pxafs.dll
2008-09-16 00:14        120,056        ------w        c:\windows\system32\pxcpyi64.exe
2008-09-16 00:14        118,520        ------w        c:\windows\system32\pxinsi64.exe
2008-09-16 00:12        81,920        ----a-w        c:\windows\system32\dpl100.dll
2008-09-16 00:12        593,920        ----a-w        c:\windows\system32\dpuGUI11.dll
2008-09-16 00:12        57,344        ----a-w        c:\windows\system32\dpv11.dll
2008-09-16 00:12        53,248        ----a-w        c:\windows\system32\dpuGUI10.dll
2008-09-16 00:12        344,064        ----a-w        c:\windows\system32\dpus11.dll
2008-09-16 00:12        294,912        ----a-w        c:\windows\system32\dpu11.dll
2008-09-16 00:12        294,912        ----a-w        c:\windows\system32\dpu10.dll
2008-09-16 00:12        200,704        ----a-w        c:\windows\system32\ssldivx.dll
2008-09-16 00:12        196,608        ----a-w        c:\windows\system32\dtu100.dll
2008-09-16 00:12        1,044,480        ----a-w        c:\windows\system32\libdivx.dll
2008-09-16 00:11        823,296        ----a-w        c:\windows\system32\divx_xx0c.dll
2008-09-16 00:11        823,296        ----a-w        c:\windows\system32\divx_xx07.dll
2008-09-16 00:11        815,104        ----a-w        c:\windows\system32\divx_xx0a.dll
2008-09-16 00:11        802,816        ----a-w        c:\windows\system32\divx_xx11.dll
2008-09-16 00:11        683,520        ----a-w        c:\windows\system32\DivX.dll
2008-09-16 00:11        161,096        ----a-w        c:\windows\system32\DivXCodecVersionChecker.exe
2008-09-16 00:11        12,288        ----a-w        c:\windows\system32\DivXWMPExtType.dll
2008-09-15 15:24        1,846,528        ----a-w        c:\windows\system32\win32k.sys
2008-09-10 01:13        1,307,648        ------w        c:\windows\system32\msxml6.dll
2008-09-04 17:15        1,106,944        ----a-w        c:\windows\system32\msxml3.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVRaidService"="c:\windows\System32\nvraidservice.exe" [2005-01-17 84480]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2008-09-17 13574144]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2008-09-17 86016]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2008-03-18 1848648]
"nwiz"="nwiz.exe" [2008-09-17 c:\windows\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2006-01-11 c:\windows\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ\\Icq.exe"=
"c:\\Programme\\mIRC\\mirc.exe"=
"f:\\BF2\\BF2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\Garena\\Garena.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2453:UDP"= 2453:UDP:Windows Media Format SDK (opera.exe)
"2452:UDP"= 2452:UDP:Windows Media Format SDK (opera.exe)
"2455:UDP"= 2455:UDP:Windows Media Format SDK (opera.exe)

R0 avgntmgr;avgntmgr;c:\windows\system32\DRIVERS\avgntmgr.sys [2008-09-30 22336]
R1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2008-09-30 45376]
R1 SASDIFSV;SASDIFSV;\??\c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [2008-09-03 8944]
R1 SASKUTIL;SASKUTIL;\??\c:\programme\SUPERAntiSpyware\SASKUTIL.sys [2008-09-03 55024]
R3 SASENUM;SASENUM;\??\c:\programme\SUPERAntiSpyware\SASENUM.SYS [2008-09-03 7408]

*Newly Created Service* - CATCHME
*Newly Created Service* - MBR
*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{BB20C96E-2EDF-4D92-9516-E3A9F3403380} - (no file)
Notify-c0023AED - c0023AED.mat
Notify-sys32 - sys32.dll


.
------- Zusätzlicher Suchlauf -------
.
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FireFox -: Profile - c:\dokumente und einstellungen\Benni\Anwendungsdaten\Mozilla\Firefox\Profiles\2ejfxqu7.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.spiegel.de
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Acrobat\browser\nppdf32.dll
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npdeploytk.dll
FF -: plugin - c:\programme\Opera\program\plugins\npdivx32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-04 23:49:26
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(668)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
Zeit der Fertigstellung: 2008-12-04 23:49:54
ComboFix-quarantined-files.txt  2008-12-04 22:49:44

Vor Suchlauf: 11 Verzeichnis(se), 137.279.172.608 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 137,310,756,864 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

203        --- E O F ---        2008-11-12 22:42:49

7.) filelisting anbei der link

http://www.file-upload.net/download-1296389/listing.txt.html

8.) Neues HijackThis Logfile
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:54:30, on 04.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvraidservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Benni\Desktop\qlketzd.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222789003937
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5710 bytes
Viele Grüße

Blubberb 09.12.2008 13:10
Hallo Zusammen!
Hab die Punkte wie oben genannt abgearbeitet! Kann mir jemand weiterhelfen? Bin ich jetzt "clean" und weiß es nur nich? :P
Habe seit dem übrigens keine Popups von antivir mehr gehabt, aber immer noch das programm mirar in "Software" drin. Denke mal da ist noch eingies im argen!

Blubberb 27.12.2008 13:19
Hallo Zusammen! Habe vor einiger Zeit diesen Thread eröffnet und die Tips abgearbeitet. War danach, zumindest was die symptome angeht, vom Vundo.Gen befreit. Seit heute meldet mir Antivir allerdings wieder den Virus!

Des weiteren Deaktiviert er mir die Windows Firewall.

Was soll ich tun um nachhaltig davon verschont zu bleiben?

Im moment arbeite ich die Liste ein zweites mal ab, da es beim letzten mal ja zumindest zeitweise half, denke aber das das auf dauer keine lösung ist.
Aus welchen Quellen kann der virus kommen? Bin niemand der auf komischen Websites unterwegs ist.

Bitte helft mir!

Mfg

Blubberb 27.12.2008 13:28
Habe die prunnet.exe datei diesmal finden können und nach Punkt 1) der Tips bei Virustotal überprüft

Code:
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        -        -        -
AhnLab-V3        -        -        -
AntiVir        -        -        -
Authentium        -        -        -
Avast        -        -        -
AVG        -        -        SHeur2.HSF
BitDefender        -        -        -
CAT-QuickHeal        -        -        (Suspicious) - DNAScan
ClamAV        -        -        -
Comodo        -        -        -
DrWeb        -        -        -
eSafe        -        -        -
eTrust-Vet        -        -        -
Ewido        -        -        -
F-Prot        -        -        -
F-Secure        -        -        -
Fortinet        -        -        -
GData        -        -        -
Ikarus        -        -        -
K7AntiVirus        -        -        -
Kaspersky        -        -        Trojan-Downloader.Win32.VB.jty
McAfee        -        -        -
McAfee+Artemis        -        -        -
Microsoft        -        -        Trojan:Win32/VB.GM
NOD32        -        -        -
Norman        -        -        -
Panda        -        -        -
PCTools        -        -        -
Prevx1        -        -        Malicious Software
Rising        -        -        -
SecureWeb-Gateway        -        -        -
Sophos        -        -        Troj/AdClick-FG
Sunbelt        -        -        -
Symantec        -        -        Trojan.Adclicker
TheHacker        -        -        -
TrendMicro        -        -        -
VBA32        -        -        -
ViRobot        -        -        -
VirusBuster        -        -        -
weitere Informationen
MD5: c759938189310b0164f0f39a447f7c3b
SHA1: dada6b953d342aa1656af8b3c635098a80ee8fb2
SHA256: f5ab3b60ff431dbffd2c9adae6aceca9d2ef4ddeb211ea46e79b87b0587d7bf4
SHA512: 632390112e2a3828e77126f8618a9f8a22925bd4c5b909eab92ce09f7d61fa533fb740a4a41d31bf579de13078c2cea070e319c3301f2043346d20f14967289e


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:50 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131