Trojaner-Board
Seite 7 von 9 « Erste 56 7 89
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hilfe! Welcher Virus! Dll Dateien fehlen! Webe-fenster öffnen sich! (https://www.trojaner-board.de/73917-hilfe-welcher-virus-dll-dateien-fehlen-webe-fenster-oeffnen.html)

john.doe 01.07.2009 16:52
Zitat:
Die Datei mit den Mails kann ich nicht finden
Die findest du hier =>
Code:
C:\Users\Jens Knossalla\AppData\Local\Microsoft\Outlook\outlook.pst
Entweder du löscht diese Datei, dann sind aber alle deine (verseuchten) Mails weg oder du startest Outlook und löscht eine nach der anderen.
Zitat:
weil das der screenshot ganz klein im paint ist, man kann nichts erkennen.
Dann notiere dir die Meldungen. Zwei kann ich im Log erkennen =>
Zitat:
[B] c:\users\jens knossalla\desktop\cofi.exe.exe [PX5: A38EE7CDCE5F47746C1C2EB87A9FCB00195B1D31] Malware Group: High Risk Spyware
[B] c:\program files\hdquality\uninstall.exe [PX5: 305CB116665F1C37F572002E07AF6D006BBF9273] Malware Group: Medium Risk Malware
Du brauchst also nur die dritte zu notieren und zu posten.

ciao, andreas

Knossi 01.07.2009 16:53
c:\program files\hdquality\uninstall.exe

Was ist mit dieser Datei, soll ich die nachdem ich sie hochgeladen habe löschen?

john.doe 01.07.2009 16:54
Nein, das kein ein Fehlalarm sein. Warte die Auswertung ab.

ciao, andreas

Knossi 01.07.2009 16:59
Also:

die dritte verseuchte datei ist:

Uninstall.Ink. in \??\C:\Users\Jens Knossalla\AppData\Roaming\Microsoft\Windows\Star Menu\Programs\HDQuality\



Die Datei die ihr wollt, wird sofort hochgeladen

john.doe 01.07.2009 17:02
Rootkit. :schmoll:

GMER - Rootkit Detection

http://pic.leech.it/i/ab0bc/635985fgmer60.jpg
  • Lade Trallala von file-upload.net
  • Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
  • Doppelklick auf Trallala.exe
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
  • Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

Knossi 01.07.2009 17:06
So, habs hochgeladen.....was ist denn jetzt eigentlich mit dem Proframm PREVX? Kann ich das löschen?


Wie gehts weiter chef?

john.doe 01.07.2009 17:16
Mit Gmer. :)

ciao, andreas

Knossi 01.07.2009 17:27
Ich hab aber irgendwie komische dateien jetzt in manchen laufwerken. Wie zb in D: $RECYCLE.BIN und System Volume INformation.
Warum das? Die lassen sich auch nicht löschen

john.doe 01.07.2009 17:35
Zitat:
Ich hab aber irgendwie komische dateien jetzt in manchen laufwerken. Wie zb in D: $RECYCLE.BIN und System Volume INformation.
Warum das?
Die sind nicht komisch, die gehören zum Betriebssystem, werden aber normalerweise nicht angezeigt. Recycle ist der Papierkorb und System Volume Information die Systemwiederherstellung. Mache den Schritt 1 wieder rückgängig, dann siehst du sie nicht mehr => http://www.trojaner-board.de/54791-a...ner-board.html

Kennst du das Programm HDQuality? Hast du es installiert? Brauchst du das Programm?

ciao, andreas

Knossi 01.07.2009 17:37
http://www.materialordner.de/HiZSYLCMFpbBPCXFMQcwFeTDsBJQd7lL.html



so hier bitteschön ;-)

wie weiter?

Knossi 01.07.2009 17:39
hd quality sagt mir gar nix, das ist vielleicht der divx codec oder? Wie soll ich ihn löschen?

john.doe 01.07.2009 17:46
Hier das Ergebnis von VT:
Code:
Datei Uninstall.exe empfangen 2009.07.01 16:11:35 (UTC)
Status:    Beendet
Ergebnis: 5/41 (12.2%)
 Filter
Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.5.0.18        2009.07.01        Trojan.Win32.Alureon!IK
AhnLab-V3        5.0.0.2        2009.07.01        -
AntiVir        7.9.0.199        2009.07.01        -
Antiy-AVL        2.0.3.1        2009.07.01        Trojan/Win32.TDSS.gen
Authentium        5.1.2.4        2009.06.30        -
Avast        4.8.1335.0        2009.06.30        -
AVG        8.5.0.386        2009.07.01        -
BitDefender        7.2        2009.07.01        -
CAT-QuickHeal        10.00        2009.07.01        -
ClamAV        0.94.1        2009.07.01        Trojan.Agent-118946
Comodo        1532        2009.07.01        -
DrWeb        5.0.0.12182        2009.07.01        -
eSafe        7.0.17.0        2009.06.29        -
eTrust-Vet        31.6.6591        2009.07.01        -
F-Prot        4.4.4.56        2009.06.30        -
F-Secure        8.0.14470.0        2009.07.01        -
Fortinet        3.117.0.0        2009.07.01        -
GData        19        2009.07.01        -
Ikarus        T3.1.1.64.0        2009.07.01        Trojan.Win32.Alureon
Jiangmin        11.0.706        2009.07.01        -
K7AntiVirus        7.10.768        2009.06.19        -
Kaspersky        7.0.0.125        2009.07.01        -
McAfee        5662        2009.06.30        -
McAfee+Artemis        5662        2009.06.30        -
McAfee-GW-Edition        6.7.6        2009.07.01        -
Microsoft        1.4803        2009.07.01        -
NOD32        4204        2009.07.01        -
Norman        6.01.09        2009.07.01        -
nProtect        2009.1.8.0        2009.07.01        -
Panda        10.0.0.14        2009.07.01        -
PCTools        4.4.2.0        2009.07.01        -
Prevx        3.0        2009.07.01        Medium Risk Malware
Rising        21.36.24.00        2009.07.01        -
Sophos        4.43.0        2009.07.01        -
Sunbelt        3.2.1858.2        2009.07.01        -
Symantec        1.4.4.12        2009.07.01        -
TheHacker        6.3.4.3.358        2009.06.30        -
TrendMicro        8.950.0.1094        2009.07.01        -
VBA32        3.12.10.7        2009.07.01        -
ViRobot        2009.7.1.1814        2009.07.01        -
VirusBuster        4.6.5.0        2009.07.01        -
weitere Informationen
File size: 62822 bytes
MD5...: 7b65b280cd4a4ec4593967c78a83cd8a
SHA1..: 65576c5cc291e617f5d3d618ca2f49966459d7af
SHA256: c69f78c154224984ffa56ed18fd67d493162d4fa03c326e4293034893866da14
ssdeep: 1536:Wdb/vBxIdFlU0AfLhANuIj7Aw6R4BJWxC+a:WnilMfONuXw6R4sC+a
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (75.0%)
Win32 Executable Generic (16.9%)
Generic Win/DOS Executable (3.9%)
DOS Executable Generic (3.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x39bc
timedatestamp.....: 0x49f083e9 (Thu Apr 23 15:06:17 2009)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x76b8 0x7800 6.17 c5dc8044686b4e8cf4971a6245d3ea06
.data 0x9000 0x8c 0x200 1.19 93f0608a16a7e3925514f558dc4e804e
.rdata 0xa000 0xc54 0xe00 5.05 9290c338008ca65e13a690384caf847b
.bss 0xb000 0x399648 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x3a5000 0x13e0 0x1400 5.17 9ce0f458cdff9feedca5723172e6629b
.ndata 0x3a7000 0x8000 0x400 0.00 0f343b0931126a20f133d67c2b018a3b
.rsrc 0x3af000 0x4cc0 0x4e00 4.85 94a8c9701d5f43e3065382b6a24bc651

( 8 imports )
> ADVAPI32.DLL: RegCloseKey, RegCreateKeyExA, RegDeleteKeyA, RegDeleteValueA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA
> COMCTL32.DLL: ImageList_AddMasked, ImageList_Create, ImageList_Destroy, InitCommonControls
> GDI32.dll: CreateBrushIndirect, CreateFontIndirectA, DeleteObject, GetDeviceCaps, SelectObject, SetBkColor, SetBkMode, SetTextColor
> KERNEL32.dll: CloseHandle, CompareFileTime, CopyFileA, CreateDirectoryA, CreateFileA, CreateProcessA, CreateThread, DeleteFileA, ExitProcess, ExpandEnvironmentStringsA, FindClose, FindFirstFileA, FindNextFileA, FreeLibrary, GetCommandLineA, GetCurrentProcess, GetDiskFreeSpaceA, GetExitCodeProcess, GetFileAttributesA, GetFileSize, GetFullPathNameA, GetLastError, GetModuleFileNameA, GetModuleHandleA, GetPrivateProfileStringA, GetProcAddress, GetShortPathNameA, GetSystemDirectoryA, GetTempFileNameA, GetTempPathA, GetTickCount, GetVersion, GetWindowsDirectoryA, GlobalAlloc, GlobalFree, GlobalLock, GlobalUnlock, LoadLibraryA, LoadLibraryExA, MoveFileA, MulDiv, MultiByteToWideChar, ReadFile, RemoveDirectoryA, SearchPathA, SetCurrentDirectoryA, SetErrorMode, SetFileAttributesA, SetFilePointer, SetFileTime, Sleep, WaitForSingleObject, WriteFile, WritePrivateProfileStringA, lstrcatA, lstrcmpA, lstrcmpiA, lstrcpynA, lstrlenA
> OLE32.dll: CoCreateInstance, CoTaskMemFree, OleInitialize, OleUninitialize
> SHELL32.DLL: SHBrowseForFolderA, SHFileOperationA, SHGetFileInfoA, SHGetPathFromIDListA, SHGetSpecialFolderLocation, ShellExecuteA
> USER32.dll: AppendMenuA, BeginPaint, CallWindowProcA, CharNextA, CharPrevA, CheckDlgButton, CloseClipboard, CreateDialogParamA, CreatePopupMenu, CreateWindowExA, DefWindowProcA, DestroyWindow, DialogBoxParamA, DispatchMessageA, DrawTextA, EmptyClipboard, EnableMenuItem, EnableWindow, EndDialog, EndPaint, ExitWindowsEx, FillRect, FindWindowExA, GetClassInfoA, GetClientRect, GetDC, GetDlgItem, GetDlgItemTextA, GetMessagePos, GetSysColor, GetSystemMenu, GetSystemMetrics, GetWindowLongA, GetWindowRect, InvalidateRect, IsWindow, IsWindowEnabled, IsWindowVisible, LoadBitmapA, LoadCursorA, LoadImageA, MessageBoxIndirectA, OpenClipboard, PeekMessageA, PostQuitMessage, RegisterClassA, ScreenToClient, SendMessageA, SendMessageTimeoutA, SetClassLongA, SetClipboardData, SetCursor, SetDlgItemTextA, SetForegroundWindow, SetTimer, SetWindowLongA, SetWindowPos, SetWindowTextA, ShowWindow, SystemParametersInfoA, TrackPopupMenu, wsprintfA
> VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=305CB116665F1C37F572002E07AF6D006BBF9273' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=305CB116665F1C37F572002E07AF6D006BBF9273</a>
Ich habe es gerade nochmal an Avira und Kaspersky geschickt, aber beide behaupten weiterhin, dass die sauber ist.

Wie es weitergeht entscheidet das Log von Gmer.

ciao, andreas

Knossi 01.07.2009 17:49
Hier dir Link vom Gmer Log:

http://www.materialordner.de/HiZSYLCMFpbBPCXFMQcwFeTDsBJQd7lL.html

john.doe 01.07.2009 18:03
Kann es sein, dass es hier einen Tippfehler gegeben hat?
Zitat:
Uninstall.Ink. in \??\C:\Users\Jens Knossalla\AppData\Roaming\Microsoft\Windows\Star Menu\Programs\HDQuality\
Und es eigentlich heißt
Zitat:
Uninstall.Ink. in \??\C:\Users\Jens Knossalla\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HDQuality\
Falls ja, dann ist es ein Schädling.

Registry Search

Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen.

Hier das Programm herunterladen -> RegSearch by Bobbi Flekman
Das Archiv entpacken und die regsearch.exe mit einem Doppelklick starten.
Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig)

http://virus-protect.org/artikel/bilder/bobby.gif

Folgenden Text einfügen:
Code:
HDQuality
Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen.

ciao, andreas

Knossi 01.07.2009 18:09
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 01.07.2009 19:07:38 for strings:
; 'hdquality'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HDQuality]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HDQuality]
; Contents of value:
; "C:\Program Files\HDQuality\Uninstall.exe"
"UninstallString"=hex(2):22,00,43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,\
61,00,6d,00,20,00,46,00,69,00,6c,00,65,00,73,00,5c,00,48,00,44,00,51,00,75,\
00,61,00,6c,00,69,00,74,00,79,00,5c,00,55,00,6e,00,69,00,6e,00,73,00,74,00,\
61,00,6c,00,6c,00,2e,00,65,00,78,00,65,00,22,00,00,00
; Contents of value:
; C:\Program Files\HDQuality
"InstallLocation"=hex(2):43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,\
6d,00,20,00,46,00,69,00,6c,00,65,00,73,00,5c,00,48,00,44,00,51,00,75,00,61,\
00,6c,00,69,00,74,00,79,00,00,00
"DisplayName"="HDQuality"
"DisplayIcon"="C:\\Program Files\\HDQuality\\Uninstall.exe,0"

[HKEY_USERS\S-1-5-21-231028011-720208147-1658006778-1003\Software\HDQuality]

[HKEY_USERS\S-1-5-21-231028011-720208147-1658006778-1003\Software\HDQuality]
@="C:\\Program Files\\HDQuality"

[HKEY_USERS\S-1-5-21-231028011-720208147-1658006778-1003\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\HDQuality]

[HKEY_USERS\S-1-5-21-231028011-720208147-1658006778-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
"b"="c:\\program files\\hdquality\\\\1"

; End Of The Log...


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:27 Uhr.
Seite 7 von 9 « Erste 56 7 89
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131