Hjackthis Logfile...erkennt hier jemand was ?
 

Hallo


Seit heute habe ich ein Problem, dass ich bei mir bestimmte Programme nicht mehr starten kann.

Unteranderem Spiele die ich unter Steam laufen habe. Netbeans für Java und viele andere Sachen.

Habe nen kompletten Systemscan machen lassen mit Antivir, der hat aber nix gefunden.

Daher hab ich mal nen Hjiackthis File erstellt, vieleicht sieht ja jemand etwas ??


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:17:27, on 13.12.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17080)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Opera\opera.exe
C:\Programme\Opera\opera.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\RTHDCPL.EXE
D:\tunes\iTunesHelper.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\DivX\DivX Update\DivXUpdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\steam\steam.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ICQ7.2\ICQ.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Java\jre6\bin\jucheck.exe
C:\Programme\Opera\opera.exe
D:\HiJackThis204.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.versatel.de/internet-cd/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.versatel.de/internet-cd/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\tbsoft.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Programme\mjyTqWKx\yyisbvfy.exe,
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll
O2 - BHO: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\tbsoft.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\tbsoft.dll
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [aionbmp] RUNDLL32.EXE C:\WINDOWS\system32\wow2010.dll,w
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\tunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [Google Updater] "C:\Programme\Google\Google Updater\GoogleUpdater.exe" -check_deprecation
O4 - HKLM\..\Run: [nonep] C:\DOKUME~1\ich\LOKALE~1\Temp\tmpe8ca4cba\KillEXE.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Steam] "D:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ7.2\ICQ.exe" silent loginmode=4
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [{E5E41462-5582-82F4-03C6-B8D6C00FC995}] "C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Coov\ytpa.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: NordicBet Poker - {E6073F93-9541-4be4-9800-109D378EB99B} - C:\Microgaming\Poker\nordicbetMPP\MPPoker.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 11630 bytes

hallo,

1. nimm keinerlei reinigung selbstständig vor, sonst ist das nur störend.
2. reiche alle evtl vorhandenen scan logs nach. ootl:
3.
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt

Log kommt gleich...hab vergessen haken bei "Use Safelist" "LOP Check" "Purity Check" zumachen. Werd also gleich nochmal scan starten.

Trotzdem schonmal danke für deine Antwort :)

OTL.TxT...........

OTL Logfile:
--- --- ---

Extra.TxT .. .. ..
OTL EXTRAS Logfile:
--- --- ---

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKLM..\Run: [aionbmp] C:\WINDOWS\System32\wow2010.DLL File not found
O4 - HKLM..\Run: [nonep] C:\Dokumente und Einstellungen\ich\Lokale Einstellungen\Temp\tmpe8ca4cba\KillEXE.exe ()
O4 - HKCU..\Run: [{E5E41462-5582-82F4-03C6-B8D6C00FC995}] C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Coov\ytpa.exe ()
O20 - HKLM Winlogon: UserInit - (C:\Programme\mjyTqWKx\yyisbvfy.exe) - C:\Programme\mjyTqWKx\yyisbvfy.exe File not found
[2010.12.13 12:59:03 | 000,000,000 | ---D | C] -- C:\Programme\windows
[2010.12.12 19:39:13 | 000,000,000 | ---D | C] -- C:\Programme\mjyTqWKx
[2010.10.09 21:56:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Coov

:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten.


öffne den arbeitsplatz, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html

Hier das TxT file nach dem rebbot:

Scheint aber geholfen zuhaben..Netbaeans lässt sich zumindest schonmal wieder starten:)

Vielen Dank !!!

Jetzt würd mich sllerdings doch mal interessieren was genau ich da gelöscht habe ^^

p.s. Finde _OTL leider nicht um das zum archiv hochzuladen...:/

edit: habs doch gedunden, war auf anderer Festplatte

edit2: Habs hochgeladen

jetzt warte ich auf den upload :-)

Müsste eh eigentlich da sein

1. erstelle sicherheitshalber ne sicherung deiner wichtigen datn, bilder dokumente usw. auf ne externe festplatte, andere partition außer c:
oder auf cd oder dvd.
2.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Hier das Combofixfile:

Combofix Logfile:
--- --- ---

Start programme zubehör editor, kopiere rein:

Killall::
Rootkit::
c:\programme\RGiytpkl
Folder::
c:\programme\RGiytpkl


Datei speichern unter, ort, dort wo sich combofix.exe befindet.
datei typ, alle dateien.
name
cfscript.txt

Ziehe cfscript auf combofix, programm startet, log posten.

Gesagt, getan......

Combofix Logfile:
--- --- ---

noch mal neues cfscript wie eben

stepdel::
Killall::
File::
c:\programme\mGQdHiYZÚ»çšËyyisbvfy.exe
Folder::
c:\programme\mGQdHiYZÚ»çšËyyisbvfy.exe

wieder auf combofix ziehen und log posten.

Alelt kla..hab ich gemacht :)

Combofix Logfile:
--- --- ---

sieht so aus als will combofix nicht so wie ich, also sorry das es net klappt...

neues script.

Killall::
Stepdel::
Rootkit::
c:\programme\Pluuaefy*¨ïšËyyisbvfy.exe
folder::
c:\programme\Pluuaefy*¨ïšËyyisbvfy.exe
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"


wieder wie eben ausführen bitte, log posten

Ach kein Ding. Da mach ich lieber paar Scans hier mehr als das ich mein System komplett neu aufsetzen muss. Also ganz im Gegenteil, vielen Dank das du dir die Zeit und so nimmst :daumenhoc

na da mal daumen drücken

so, hier dann das nächste log ^^
Combofix Logfile:
--- --- ---

aus dem winlogon ist er schon mal raus.
mal sehen.

neues script

Killall::
Rootkit::
c:\programme\RGiytpkl
Folder::
c:\programme\RGiytpkl

Jo dann auf ein neues:sword2:

wir habens dann vllt.

Na das wäre doch prima....

Combofix Logfile:
--- --- ---

ok also mal was anderes probieren.
1. öffne den arbeitsplatz, c: dann rechtsklick auf qoobox und mit winrar oder zip packen, in unserem upload channel hochladen.
2.

downloade den avenger:
Avenger
füge das script wie beschrieben ein.

Files to delete:
c:\programme\Pluuaefy*¨ïšËyyisbvfy.exe
Folders to delete:
c:\programme\Pluuaefy*¨ïšËyyisbvfy.exe


führe das script wie beschrieben aus, poste das log.

hm..schaut so aus will sich das net löschen lassen :)

schaun wir mal
C:\Avenger
packen und im upload channel hochladen bitte.

is hochgeladen

kopiere dir den avenger mal auf c: damit du ihn wieder findest.
und evtl. nen textdokument mit dem script von vorhins.
dann starte den pc neu, mit f8 solltest du in den abgesicherten modus kommen, wähle den ohne netzwerk. melde dich als admin an und führe das script noch mal aus.

ok, dann mach ich das mal :kaffee:

hm, sieht dem alten Logfile recht ähnlich

hast du nen zweit pc mit brenner?

ne, dass hab ich leider nicht....:heulen:

Läufts also doch darauf hinaus, dass System mal komplett neu aufzusetzen ? :applaus:

nein, noch nicht.
ist an dem pc nen brenner? hast du rolinge?

brenner ja, Rohlinge sind leider aus....

kannst du bis morgen mal welche besorgen? vllt finde ich bis dahin ne andere möglichkeit, aber ich denke nen roling oder 2 wäre schon günstig.

ja klar, besorg ich Morgen.

Zumindest läuft hier alles problemlos momentan..also ich kann wieder alle Programm starten und so....

War der Aufwand also nicht umsonst bisher :daumenhoc:dankeschoen:


Aber was genau das für nen File ist und was es macht wüsstest du jetzt auch net ???

doch das scheint der spyeye trojaner zu sein, warum er sichaber so wiedersetzt, dass schafft er normalerweise nicht. also net im inet surfen oder so, du bist noch nicht clean :-)

allet kla...dann schaun wa mal ob wa ihn Morgen zeigen können, wer der Boss ist ^^

morgen gibts aufs maul :-)

Killall::
Rootkit::
c:\dokumente und einstellungen\ich\Startmenü\Programme\Autostart\yyisbvfy.exe
c:\programme\RGiytpkl
Folder::
c:\programme\RGiytpkl

Speichere wieder als cfscript ab, führe es aus und packe qoobox erneut, lade es hoch.

müsste oben sein ....brauchste log auch ?

So, also so wie es aussieht scheint sich das Dingen als Internet Explorer zu tarnen. Hab der Firewall natürlich NICHT erlaubt das der Internet Explorer ins Internet darf...

Heute Morgen hat dann Antivir nochmal angeschlagen. Es gibt wohl nen Backdoorprogramm, was sich unter c:\system volume Information.....\..\A0198486.exe versteckt, sprich inne Wiederherstellung :(

Dabei soll is sich um das Backdorprogramm BDS/IRCNite.cff handeln !


Hab daraufhin nochmal son Comofix scan gmeacht in der Hoffnung wir könnten ihn endlich besiegen wenn das Teil in der quarantäne steckt, aber dat war wohl nix :(

Combofix Logfile:
--- --- ---

neues script

Stepdel::
Killall::
Rootkit::
c:\dokumente und einstellungen\ich\Startmenü\Programme\Autostart\yyisbvfy.exe
c:\programme\RGiytpkl
Folder::
c:\programme\RGiytpkl
c:\programme\ZsKIrdAc
c:\programme\Pluuae~1.exe

falls "ich" nicht der richtige username ist, ersetze ihn bitte.
und versuche das neue cfscript

allet kla...ich versuchs mal :)

Combofix hat sich leider aufgehangen beim Versuch das Logfile zu erstellen....ich versuches nochmal....

wenn nicht, mal im abgesicherten modus ohne netzwerk versuchen.

Ja diesmal hat er sich beim versuch stufe 16 fertigzustellen aufgehangen....allerdigns hat er mir kein IE symbol erstellt aufem desktop und es versucht auch kein IE in Internet zu gelangen...vielicht gibt es hoffnung :D

Aber ich werds dann jetzt mal mit dem abgesichtern modus versuchen....:sword2:

vllt ists beim letzten mal, wenn er schon bei 2"logfile" war, wirklich gelungen zu löschen.
mal sehen, wenns im abgesicherten modus auch net klappt, dann lad mir das qoobox archiv, neu erstellt natürlich, erneut hoch.

so also jetzt hab ich nen Logfile, ich fürchte aber das wir noch nciht gewonnen haben :(
Combofix Logfile:
--- --- ---
Er hat diesmal auch wieder nen IE Shortcut auf dem Desktop erstellt und direkt versucht als IE in Internet zugelangen.
Ausserdem hab ich 2 iexplorer Prozesse im Taskmanger laufen (hab ich natürlich terminiert).

ich melde mich noch mal. in nen paar minuten, ne stunde vllt, höchstens.

jo allet kla :)

Wenns net anders geht, dann ist es auch kein Weltuntergang wenn ich dat System komplett neu aufsetzen muss (denke ist sicherlich nicht das verkehrteste wenn sich da son Backdoorprogramm eingeschlichen hat).

Ich hab allerdings frühestens am Montag nen win 7 Key.
(wenn ich jetzt schon neu aufsetze dann kann ich ja auch direkt win 7 aufspielen )

versuche mal folgendes otl script


:OTL
[2010.12.13 19:39 | -------- d-----w- c:\programme\ZsKIrdAc
[2010.12.13 18:00 00 |-------- d-----w- c:\programme\Pluuaefy*¨ïšËyyisbvfy.exe
:Files
c:\dokumente und einstellungen\ich\Startmenü\Programme\Autostart\yyisbvfy.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

poste das log.

Nach dem reboot kein IE shortcut, kein Iexplorer prozess im taskmanager...

aber logfile glaube ich sagt nicht das et weg ist oder ?

dannlad noch mal moved files und qoobox gepackt hoch, vllt war combofix vorhins doch erfolgreich.

Beim versuch des zu packen passiert folgendes:

http://img602.imageshack.us/img602/932/tron.jpg

Uploaded with ImageShack.us

ich kann das leider nicht erkennen.
wenns ne winrar oder zip meldung ist, klicke ok, wenns dein antivirus ist, schalte den guard aus.

Beide files sollten angekommen sein

hast du deine betriebssystem cd zur hand?
ist das ne normale cd oder ne recovery cd?

Der Klassiker...ich hab meine XP cd irgendwann irgendwem mal geliehen und seitdem nicht mehr gesehen :D


Wofür genau brauch ich des denn? Vieleicht gibts da auch ne andere Quelle für??

ich will mal noch 1 probieren.

neues avenger script

folders to delete:
c:\programme\ZsKIrdAc
c:\programme\Pluuaefy*¨ïšËyyisbvfy.exe
c:\programme\Pluuae~1.exe
files to delete:
c:\dokumente und einstellungen\ich\Startmenü\Programme\Autostart\yyisbvfy.exe

führe den avenger aus, log posten.

Erneut beim restart kein neues IE shortcut, kein IE der ins Internet möchte und ich keine iexplorer prozesse im taskmanager...

endlich, jetzt lad den c:\avenger gepackt hoch, ich glaub wir könntens jetzt geschaft haben!

Mach ich gerne, sollte angekommen sein...

hatt dein antiviren programm eben etwas gelöscht?

nein, eigentlich nicht.....

Scheint denn jetzt alles in Ordnung zu sein ? oder ist noch was im Busch..:D

edit: muss denn dann jetzt auch leider mal für ca ne stunde verschwinden....schau dann aber direkt wieder heir rein wenn ich zurück bin.

Erneut, vielen Dank für deine Hilfe und Unterstützung bis hier. Sollten wir uns irgendwann mal zufällig über den Weg laufen, lad ich dich auf nen Bierchen ein !!!!

:dankeschoen::taenzer:

nein, hast du jetzt rolinge, wenn nicht, geh mal bitte und hohle dir welche.

hab rohlinge da

ic brauch noch mal nen neues combofix logfile. da sich die ordner namen nach den löschversuchen endern, muss ich, befor wir mit nem botbaren system arbeiten, sehen wie die ordner aktuell heißen.

na dann erstell ich dochmal eins :)

solltest ja langsam wissen wies geht hehe

ok, dann hier ein aktuelles

Combofix Logfile:
--- --- ---

Ich werd vermutlich heute Nacht von Logfiles träumen :D

bitte nicht neustarten.
öffne mal den arbetitspatz
dort suche folgendes
c:\programme\wmFqYHSDE¬›Ëyyisbvfy.exe
benenne den ordner mal um in 1
also rechtsklick umbenennen. namen löschen 1 enter
c:\programme\boVZYPIqÒÐx›Ëyyisbvfy.exe
hier das selbe, nur mit 2
c:\programme\HJApdhiy
3
gib bescheid obs geklappt hat.

hab alle 3 Ordner umbenannt ! hat anscheinend geklappt....

neues combofix script und daumen drücken.

Killall::
Rootkit::
c:\dokumente und einstellungen\ich\Startmenü\Programme\Autostart\yyisbvfy.exe
Folder::
c:\programme\1
c:\programme\2
c:\programme\3


naja und wies läuft weist ja :-)

jo weiss ich hehe :D ja dann drück mal ganz feste die daumens und so ole ^^

so, hier hamwa das

Combofix Logfile:
--- --- ---

hmm
es sieht auf jeden fall so aus als hätten wir nen ansatz.
c:\programme\QBvgUbUd¨_š›Ëyyisbvfy.exe
ist es möglich, dass in 1 umzubenennen?

japp ist es und hiermit geschehen.

eh lass mich raten:

folgendes script mit combofix :)

Killall::
Rootkit::
c:\dokumente und einstellungen\ich\Startmenü\Programme\Autostart\yyisbvfy.exe
Folder::
c:\programme\1

nein :-)
wenn du ein combofix script laufen lässt, klapt das bei dir ohne neustart?

ne, er startet danach immer neu wenn ich es mit nem script ausführe

ok ich brauch nen paar minuten, wir kommen der lösung ja schon etwas näher.

jo nimm dir ruhig zeit :)

c:\programme\HJApdhiy

wmFqYHSDE¬
und diese umbenennen sag mir, wie viele es waren, also bei welcher nummer schluss war.

hm..er findet überhaupt nix...lässt sich dann natürlich leider auch net umbennen

das teil arbeitet ja mit code injektion.
also folgendes


dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".

Stepdel::
Killall::
Rootkit::
c:\dokumente und einstellungen\ich\Startmenü\Programme\Autostart\yyisbvfy.exe
Folder::
c:\programme\1
c:\dokumente und einstellungen\ich\Startmenü\Programme\Autostart\yyisbvfy.exe
c:\programme\HJApdhiy
registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,,c:\programme\wmFqYHSDE¬›Ëyyisbvfy.exe\yyisbvfy.exe"

sag bescheid obs jetzt bei neustart irgendwelche meldungen gibt.

DEP aktiviert..hier
Combofix Logfile:
--- --- ---

es sieht so aus als wäre diesmal kein neuer ordner erstellt worden.

avenger:

Files to delete:
c:\dokumente und einstellungen\ich\Startmenü\Programme\Autostart\yyisbvfy.exe

poste das log, packe combofix quarantain und avenger backup erneut.

so heir schonmal dat
quarantain und avanger sind hochgeladen

ich glaub wir habens :d
pc neustarten und combofix erneut ohne script ausführen

ja mach ich sofort :D

hier hoffentlich zum letzten mal :)
Combofix Logfile:
--- --- ---

ich hoffe das letzte cf script


Killall::
Rootkit::
c:\dokumente und einstellungen\Administrator\Startmen�\Programme\Autostart\yyisbvfy.exe

na dann schaun wa doch mal

Combofix Logfile:
--- --- ---

ok, die gute nachicht ist erst mal, das anscheinend kein spyeye mehr aktiev ist, der würde die .dat file in den internet explorer folder kopieren, die du bei den löschungen siehst, die combofix immer gemacht hatt.
die schlechte, wir müssen noch mal den avenger nutzen
files to delete:
c:\dokumente und einstellungen\Administrator\Startmen�\Programme\Autostart\yyisbvfy.exe

avenger script ausführen, pc neustarten, combofix log erstellen, beide posten.

na das ist doch immerhin shconmal etwas :)

hatt halt ziemlich gedauert :d

irgendwie will er nicht...