Trojaner-Board - System security 2009

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - System security 2009 (https://www.trojaner-board.de/73617-system-security-2009-a.html)

System security 2009

Also mein Problem ist ungefähr so wie dieser Post!
http://www.trojaner-board.de/67489-system-security-alerts.html:headbang:

Nur ich komme mit Laptop nicht mehr ins Internet und kann deswegen mich nicht unmittelbar an den Vorschlag von crusader halten.

Zuerst habe ich ahnungsloser :heilig:, erst mal gegooglt und mir Spyhunter mit dem Hauptrechner runtergeladen. Über USB im abgesichertem Modus installiert, durchgeführt und musste leider feststellen, dass man die kostenpflichtige Vollversion braucht, um die einzelne Trojaner, Worms und andere Nettigkeiten zu entsorgen.

Also weiter recheriert und festgestellt das Spyhunter Mist ist bzw. selber einen Trojaner drauf haben soll. Nun die Frage wie ich das Problem am besten lösen kann.

Der Hijackfiles sehen so aus:
ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:45:18, on 29.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\HijackThis\hijackthis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.enigmasoftware.com/congratulation_spyhunter_scanner.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\WidgiToolbarIE.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SearchSettings] C:\Programme\pdfforge Toolbar\SearchSettings.exe
O4 - HKLM\..\Run: [lsass] C:\WINDOWS\lsass.exe
O4 - HKLM\..\Run: [netc] C:\WINDOWS\svc.exe
O4 - HKLM\..\Run: [odby] C:\WINDOWS\odb.exe
O4 - HKLM\..\Run: [UpdateWin] C:\WINDOWS\system32\acodech.exe
O4 - HKLM\..\Run: [18877814] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18877814\18877814.exe
O4 - HKLM\..\Run: [98887806] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\98887806\98887806.exe
O4 - HKLM\..\Run: [amoumain] C:\WINDOWS\amoumain.exe
O4 - HKLM\..\Run: [servicelayer] C:\WINDOWS\servicelayer.exe
O4 - HKLM\..\Run: [ctfmon] C:\WINDOWS\ctfmon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\RunServices: [UpdateWin] C:\WINDOWS\system32\acodech.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1228071259
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156868557686
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

--
End of file - 9552 bytes

MfG :hy:

In meiner Signatur dem Link folgen und alles ab Pkt. 2 abarbeiten.
Wenn du das gemacht hast müsstest du Malwarebytes inkl. Logs haben.

Alles hier rein werfen.

Halli Hallo,

an deiner Stelle würde ich hier nichts mehr versuchen zu bereinigen.

Allein aus diesem Grund:

Code:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,

Das ist ein ZBot !
Google mal danach und du wirst nichts Gutes darüber erfahren...

Die weiteren Gründe wären das hier:

Code:

O4 - HKLM\..\Run: [lsass] C:\WINDOWS\lsass.exe

O4 - HKLM\..\Run: [netc] C:\WINDOWS\svc.exe

O4 - HKLM\..\Run: [odby] C:\WINDOWS\odb.exe

O4 - HKLM\..\Run: [UpdateWin] C:\WINDOWS\system32\acodech.exe

O4 - HKLM\..\Run: [18877814] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18877814\18877814.exe

O4 - HKLM\..\Run: [98887806] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\98887806\98887806.exe

O4 - HKLM\..\Run: [amoumain] C:\WINDOWS\amoumain.exe

O4 - HKLM\..\Run: [servicelayer] C:\WINDOWS\servicelayer.exe

Dein System ist verseucht bis zum geht nicht mehr.
Für dich dürfte es hier weitergehen:
http://www.trojaner-board.de/51262-a...sicherung.html

Jedoch wäre es interessant zu wissen, was sonst noch so alles drauf läuft.

Gruß
Handball10

Also mit Zbot habe ich nur herrausgefunden, dass sich um Trojaner handelt, der Daten stiehlt und Email versendet wurde. Ich kann mir das nicht erklären ich nutze nur WEB.mail bzw. meine Freundin Gmx. Und dachte die hätten einen guten Filter?

Zu meiner Schande muss ich eingestehen, dass ich lange mein Virus Software nicht aktualisiert habe. Zuerst war Norton kostenlos, 1 mal bezahlt und danach nicht mehr geupdatet.:twak:

Also meint ihr am besten alles platt machen. Ok, wollte ich auch aus anderen Gründen mal wieder machen, deswegen nicht so schlimm. Nun aber die Frage wie das mit der Sicherung von Eigenen Dateien ist, sind die nicht auch zum Teil befallen? Wie am besten vorgehen=?

So nach 2.30 Stunden ist das Scanergebnis von Malware da:
Sieht ganz schön erschreckend aus.
alwarebytes' Anti-Malware 1.37
Datenbank Version: 2182
Windows 5.1.2600 Service Pack 2

29.05.2009 18:17:21
mbam-log-2009-05-29 (18-17-04).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 172083
Laufzeit: 2 hour(s), 15 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 16
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 3
Infizierte Dateien: 49

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SystemSecurity2009 (Rogue.Systemsecurity) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\amoumain (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\18877814 (Rogue.Multiple.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\98887806 (Rogue.Multiple.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lsass (Trojan.Clicker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\netc (Trojan.Clicker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\odby (Trojan.Clicker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\servicelayer (Trojan.Clicker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon (Trojan.Clicker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\UpdateWin (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UpdateWin (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\UpdateWin (Worm.Sdbot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\UpdateWin (Worm.Sdbot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\UpdateWin (Worm.Sdbot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userinit (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userinit (Backdoor.Bot) -> No action taken.

Infizierte Dateiobjekte der Registrierung:

Vielen Dank schon mal!

MfG

P.S Kurze Frage warum nennt sich die Seite: Trojaner-Board? Also die Sage finde ich ja Klasse, aber in Bezug auf Internet assoziiert man ja nichts Positives.:confused:

Jeder der über mir schreib muss mehr wissen haben und verhindern eine FormatC:
Bitte melden...
nu wie lange warten wir bis es kapische haste ???
LOS NEUAUFSETZEN ^^

Hi Demon,
das MalwareBytes-Log ist nicht vollständig!
Bitte poste nochmal das komplette.

Zbot:

Zitat:

Trojan-Spy.Zbot is a rootkit trojan which steals online banking information and downloads other malware as well. It opens backdoors on infected computer to allow malicious attacker unauthorized access.

aus ThreatExpert Report: Trojan-Spy.Zbot!sd6, Trojan-Spy.Win32.Zbot.pnp, Infostealer.Banker.C, Generic..

Gruß
Handball10

öhm was rettet Ihr da das das Sys zu 100 % wieder läuft ???
@demon texte was nö ? doch lieber PN ?

Ups, tatsächlich es war nicht der ganze Untergang:crazy:

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2182
Windows 5.1.2600 Service Pack 2

29.05.2009 18:17:21
mbam-log-2009-05-29 (18-17-04).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 172083
Laufzeit: 2 hour(s), 15 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 16
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 3
Infizierte Dateien: 49

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SystemSecurity2009 (Rogue.Systemsecurity) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\amoumain (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\18877814 (Rogue.Multiple.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\98887806 (Rogue.Multiple.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lsass (Trojan.Clicker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\netc (Trojan.Clicker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\odby (Trojan.Clicker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\servicelayer (Trojan.Clicker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ctfmon (Trojan.Clicker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\UpdateWin (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UpdateWin (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\UpdateWin (Worm.Sdbot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\UpdateWin (Worm.Sdbot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\UpdateWin (Worm.Sdbot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userinit (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userinit (Backdoor.Bot) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: c:\windows\system32\ntos.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,) Good: (userinit.exe) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18877814 (Rogue.Multiple.H) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\98887806 (Rogue.Multiple.H) -> No action taken.
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\amoumain.exe (Trojan.FakeAlert.H) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\18877814\18877814.exe (Rogue.Multiple.H) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\18877814\18877814.glu (Rogue.Multiple.H) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\18877814\pc18877814cnf (Rogue.Multiple.H) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\18877814\pc18877814ins (Rogue.Multiple.H) -> No action taken.
c:\dokumente und einstellungen\all users\anwendungsdaten\98887806\98887806.exe (Rogue.Multiple.H) -> No action taken.
C:\WINDOWS\lsass.exe (Trojan.Clicker) -> No action taken.
C:\WINDOWS\svc.exe (Trojan.Clicker) -> No action taken.
C:\WINDOWS\odb.exe (Trojan.Clicker) -> No action taken.
C:\WINDOWS\servicelayer.exe (Trojan.Clicker) -> No action taken.
C:\WINDOWS\ctfmon.exe (Trojan.Clicker) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\5_odb.exe (Trojan.Clicker) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\avto.exe (Trojan.Clicker) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\avto1.exe (Trojan.Clicker) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\avto2.exe (Trojan.Clicker) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\avto3.exe (Trojan.Clicker) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\avto4.exe (Trojan.Clicker) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\nopmulti1.exe (Trojan.Clicker) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\nopmulti4.exe (Trojan.Clicker) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\nopmulti5.exe (Trojan.Clicker) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\q2.exe (Trojan.Clicker) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\q6.exe (Trojan.Clicker) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\teste1_p.exe (Trojan.Clicker) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\teste2_p.exe (Trojan.Clicker) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\teste3_p.exe (Trojan.Clicker) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\teste4_p.exe (Trojan.Clicker) -> No action taken.
c:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\Kraatz\Desktop\System Security 2009.lnk (Rogue.SystemSecurity) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\4_pinnew.exe (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\6_ldr.exe (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\60325cahp25ca0.exe (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\60325cahp25caa.exe (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\q1.exe (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\q3.exe (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\q4.exe (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\q5.exe (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\q7.exe (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\q8.exe (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\q9.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\acodech.exe (Backdoor.Bot) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\BNe3.tmp (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\BNe4.tmp (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\BNe5.tmp (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\BNe8.tmp (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\BNeA.tmp (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\Kraatz\lokale einstellungen\Temp\BNeD.tmp (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ntos.exe (Backdoor.Bot) -> No action taken.

Ich suche ja schon meine Windows Exp CD... Die anderen habe ich schon gefunden, works, nero, driver utilities...
Nur die dumme Windows CD net:headbang:

@Hansebanger:
kannst du , wenn du schon was hier reinschreibst, auch was VERNÜNFTIGES dazu beitragen?

@demon:
wenn ich schon das hier sehe, wird mir schlecht :pfui:

Code:

C:\WINDOWS\system32\acodech.exe (Backdoor.Bot) -> No action taken.

C:\WINDOWS\system32\ntos.exe (Backdoor.Bot) -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Ls a\UpdateWin (Worm.Sdbot) -> No action taken.

Zitat:

Backdoor.SdBot!ct is a malicious application that runs in the background and allows remote access to your system, giving the attacker full control of your system

aus ThreatExpert Report: Backdoor.SdBot!ct, Backdoor.Win32.SdBot.fro, Backdoor.Sdbot, W32/Sdbot.worm..

Das hier:

Code:

c:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.

c:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> No action taken.

c:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.

gehört auch noch zum ZBot.

Kleine Frage:
Wie hast du es geschafft, deinen PC so dermaßen zu verseuchen?

Naja, jednfalls ist für dich Neuaufsetzen angesagt.

Gruß
Handball10

Um ehrlich zu sein, ich weiss es selber nicht so genau.:o
So Recovery CD gefunden. Auf gehts. Noch mal die Frage zu "Altdateien" Office Dokumente, -pdf, etc. Können die belastet sein?

MfG

Bevor du diese Dateien benutzt, solltest du sie auf jeden Fall mit einem AntiViren-Prgramm scannen lassen, bspw. mit MalwareBytes AntiMalware.

Dann stehst du auf der sicheren Seite.

Gruß
Handball10