Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Crypt.XPACK.Gen (https://www.trojaner-board.de/41215-tr-crypt-xpack-gen.html)

muehle 23.07.2007 14:11
TR/Crypt.XPACK.Gen
 
hallo leute,

das ist mein erster beitrag in diesem Forum und ich weiß das dieses thema hier schon öfters besprochen wurde, dennoch halfen alle genannten tips bei meinem problem nicht. jedes mal wenn ich ein neues programm öffne, oder überhaupt irgendetwas öffnen möchte, zeigt antivir mir eine meldung mit dem oben genannten trojaner. löschen kann ich ihn nicht, warum auch immer. die dazu gehörige datei kann ich ebenfalls nicht löschen, da die von einem programm bzw anderen person verwendet wird. also habe ich im abgesicherten modus den virenscan drüberlaufen lassen, der sagte mir das bei neustart der trojaner gelöscht wird, jedoch ist er immer noch da. ich habe keine ahnung wie ich das problem beheben könnte. schaden tut der trojaner eigentlich nicht, nur ist es einfach nervig, wenn jedesmal diese nachricht von antivir kommt und ich trotzdem nichts machen kann.
ich hoffe ihr könnt mir bei meinem problem helfen.

vielen dank

muehle

Mobius07 23.07.2007 14:20
Na dann poste für uns mal ein Hijackthis nach dieser Anleitung:
http://www.trojaner-board.de/17493-a...ijackthis.html
(Bitte Aktuelle Version v2.0.2 downloaden)
Bitte HJT in einen eigenen Ordner verschieben und die Hijackthis.exe in HJT.com umbenennen.
Stelle zusätzlich den Pfad des Fundes von Antivir rein.
Gruß

muehle 23.07.2007 14:33
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:27:07, on 23.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\lg_fwupdate\fwupdate.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Azureus\Azureus.exe
C:\Programme\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1FB63E52-4D6E-48C1-A08F-F630FE50F337} - C:\WINDOWS\system32\ljjhihf.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\dmdmgr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.124.130 (HKLM)
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {5D8844F9-1CB8-11D2-A0A0-00600859EB9F} (PatchCtl Class) - ftp://ftp.pt.ea.com/QA/pub/easports/patches/fifa2004/pc/DE/patchx2.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120068383421
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game16.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game14.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://data.flatcast.com/NpFv415.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A777DBC-8DB5-4637-99AB-78CB411AAA1E}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{136B6B0D-D0FB-4D99-9A10-884E3CBD3F62}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{13C9FBEB-F2C8-46DC-AE86-AEB59B968791}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C151A1A-A756-400A-92B8-7A6AD8EAB767}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F989D58-1935-46D3-8965-EE86851BE6F0}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{78367DDE-8A4D-4D95-A920-E3217AD62191}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9C823DD-0022-48B7-BEDD-BCD3E7964FFC}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1F0D6AB-57DC-4B0B-A4E5-55AAF87E876B}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA817068-4106-43A9-B1AC-925DB7BF90E8}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{C508C8D3-3FBE-4AEE-9136-777A084F7EE4}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{D45EBFCE-4D49-4864-8124-B2623E33A4A9}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8E8A710-B206-45AB-9B67-C90745BE5564}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCC5417A-FF9C-4746-960A-1896194AE052}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.24 85.255.112.235
O17 - HKLM\System\CS2\Services\Tcpip\..\{0A777DBC-8DB5-4637-99AB-78CB411AAA1E}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.24 85.255.112.235
O20 - Winlogon Notify: ljjhihf - C:\WINDOWS\SYSTEM32\ljjhihf.dll
O20 - Winlogon Notify: winwim32 - winwim32.dll (file missing)
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 11460 bytes


der pfad lautet: c:\programme\WINDOWS\system32\ljjhihf.dll

muehle 23.07.2007 14:35
hoffe du kannst was mit anfangen

Mobius07 23.07.2007 14:44
Das sieht nicht gut für Dich aus: DNS-Weiterleitung in die Ukraine. Betrachte Dein System als kompromittiert , jemand hat sich Zugang zu Deinen Daten verschafft. Du surfst über Kiev zu diesem Board.
http://www.trojaner-board.de/12154-a...sicherung.html

Nach Neuaufsetzen des Systems <WICHTIG> alle Passwörter ändern!.

Sunny 23.07.2007 14:46
Dein System ist ziemlich vermüllt, jede Menge Spyware, eine DNS-Umleitung über einen ausländischen Server etc.

Arbeite das hier ab:


DNS-Einträge entfernen:


Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

-Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop.
-installiere das Tool und achte darauf das "Run fixit" aktiviert ist.
-klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert
einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!)
-achte nun auf die Hinweise die gegeben werden

Fixe nun mit HijackThis folgende Einträge im Logfile:

Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A777DBC-8DB5-4637-99AB-78CB411AAA1E}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{136B6B0D-D0FB-4D99-9A10-884E3CBD3F62}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{13C9FBEB-F2C8-46DC-AE86-AEB59B968791}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C151A1A-A756-400A-92B8-7A6AD8EAB767}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F989D58-1935-46D3-8965-EE86851BE6F0}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{78367DDE-8A4D-4D95-A920-E3217AD62191}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{A9C823DD-0022-48B7-BEDD-BCD3E7964FFC}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1F0D6AB-57DC-4B0B-A4E5-55AAF87E876B}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA817068-4106-43A9-B1AC-925DB7BF90E8}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{C508C8D3-3FBE-4AEE-9136-777A084F7EE4}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{D45EBFCE-4D49-4864-8124-B2623E33A4A9}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8E8A710-B206-45AB-9B67-C90745BE5564}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCC5417A-FF9C-4746-960A-1896194AE052}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.24 85.255.112.235
O17 - HKLM\System\CS2\Services\Tcpip\..\{0A777DBC-8DB5-4637-99AB-78CB411AAA1E}: NameServer = 85.255.114.24,85.255.112.235
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.24 85.255.112.235

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:
Files to delete:
C:\WINDOWS\system32\ljjhihf.dll

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:
C:\WINDOWS\system32\dmdmgr.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Anschliessend nochmal ein neues Hijacklog posten, mal sehen was alles entfernt werden konnte. ;)


Gruß :daumenhoc
Sunny

muehle 23.07.2007 14:47
bedeutet ein neuaufsetzen das meine gesamten dateien gelöscht werden? muss ich vorher also noch sicherungskopien machen oder kann ich nach dem neuaufsetzen auf alles wieder zurückgreifen?

Sunny 23.07.2007 14:49
Zitat:
Zitat von muehle (Beitrag 281769)
bedeutet ein neuaufsetzen das meine gesamten dateien gelöscht werden? muss ich vorher also noch sicherungskopien machen oder kann ich nach dem neuaufsetzen auf alles wieder zurückgreifen?
Versuch es erstmal nach meiner Anleitung, danach sehen wir weiter ob du wirklich neu installieren musst. ;)

Sunny

Mobius07 23.07.2007 14:55
Such Dir eine Möglichkeit aus was für Dich eher in Frage kommen würde.
Sunnys Weg kann man auch versuchen.Vom Grundsatz her währe Neu aufsetzen aber auch nicht falsch.

Tach (GC) Sunny

muehle 23.07.2007 15:03
vielen dank erstmal, melde mich wenn ich alles gemacht habe

muehle 23.07.2007 18:40
hab den trojaner mit hilfe von avenger vertrieben, jedenfalls ist die datei gelöscht worden und die antivirmeldung kommt nicht mehr, jedoch hab ich w-lan und meine ip hat es gelöscht. wo kann ich die herausfinden?

Sunny 23.07.2007 18:44
Zitat:
Zitat von muehle (Beitrag 281894)
hab den trojaner mit hilfe von avenger vertrieben, jedenfalls ist die datei gelöscht worden und die antivirmeldung kommt nicht mehr, jedoch hab ich w-lan und meine ip hat es gelöscht. wo kann ich die herausfinden?
Was ist jetzt gelöscht, die IP?
Was meinst du damit, kommst du jetzt nicht mehr ins Internet?

Sunny

muehle 23.07.2007 19:31
hat sich wieder eingerenkt, aber trotzdem danke.

hier is jetzt noch mal mein HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:30:18, on 23.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\lg_fwupdate\fwupdate.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HJT\HJT.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1FB63E52-4D6E-48C1-A08F-F630FE50F337} - C:\WINDOWS\system32\ljjhihf.dll (file missing)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_5_0.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.124.130 (HKLM)
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {5D8844F9-1CB8-11D2-A0A0-00600859EB9F} (PatchCtl Class) - ftp://ftp.pt.ea.com/QA/pub/easports/patches/fifa2004/pc/DE/patchx2.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120068383421
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game16.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game14.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://data.flatcast.com/NpFv415.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8E8A710-B206-45AB-9B67-C90745BE5564}: NameServer = 192.168.0.1
O20 - Winlogon Notify: ljjhihf - ljjhihf.dll (file missing)
O20 - Winlogon Notify: winwim32 - winwim32.dll (file missing)
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9545 bytes

Sunny 23.07.2007 19:42
Es fehlt noch die Auswertung von Virustotal. ;) (sofern die Datei noch vorhanden ist!)


Außerdem, fixe mit HijackThis noch folgende Einträge:

Zitat:
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.124.130 (HKLM)
O2 - BHO: (no name) - {1FB63E52-4D6E-48C1-A08F-F630FE50F337} - C:\WINDOWS\system32\ljjhihf.dll (file missing)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_ 5_5_0.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.e xe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.e xe (file missing)
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - Medionshop.de (file missing) (HKCU)
O20 - Winlogon Notify: ljjhihf - ljjhihf.dll (file missing)
O20 - Winlogon Notify: winwim32 - winwim32.dll (file missing)

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.



Gruß :daumenhoc
Sunny

muehle 23.07.2007 20:00
hier das ergebnis:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.5
Sprache: German
C:\DOKUME~1\FELIXM~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "hsa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "instafinder Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "my way speedbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "p2p networking Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "instafinder Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "my way speedbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "my way speedbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain dashbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "claria Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "precisiontime Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smartfinder Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "desktop search Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "instafinder Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "my way speedbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smartfinder Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with my way speedbar Spyware/Adware ({014da6c9-189f-421a-88cd-07cfe51cff10})! Action taken: Keine Aktion vorgenommen.
System found infected with kazaa Spyware/Adware ({66fc8717-efa7-4546-8c4a-e224f3a80c76})! Action taken: Keine Aktion vorgenommen.
System found infected with myway Spyware/Adware ({0494d0d4-f8e0-41ad-92a3-14154ece70ac})! Action taken: Keine Aktion vorgenommen.
System found infected with look2me Adware (guard.tmp)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\guard.tmp
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Programme\instafink
Offending Folder found: C:\Programme\myway
Offending Folder found: C:\Dokumente und Einstellungen\Felix Mühlberg\Favoriten\sites about
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\hsa !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\instafink !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\my way speedbar uninstall !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\p2p networking !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\sw !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\instafink !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\my way speedbar uninstall !!!
Offending Key found: HKLM\Software\myway !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\dashbar !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\gain publishing !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\precisiontime !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\favorites\sites about !!!
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKLM\System\ControlSet001\Services\delprot !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 7812
Gefundene Viren: 21
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 3
Dauer des Scans bisher: 00:01:34
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 20:57:54,07
Batchende: 20:57:59,50

Sunny 23.07.2007 20:08
Das System scheint noch ziemlich vermüllt...aber es wird langsam:



Datenträgerbereinigung

Zum Starten des Dienstprogramms Datenträgerbereinigung klicke auf Start -> Programme -> Zubehör -> Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
Lass die Partition bereinigen, auf dem dein Betriebssystem installiert ist!
(wird normalerweise automatisch erkannt!)


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

*Ein Dankeschön an das Forum HijackThis und besonders Karl83 für die Anleitung*


Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)


Gruß :daumenhoc
Sunny

muehle 23.07.2007 20:26
hier erstmal das ergebnis von combofix

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\emdat.tm
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com


((((((((((((((((((((((((( Files Created from 2007-06-23 to 2007-07-23 )))))))))))))))))))))))))))))))


2007-07-23 21:12 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-23 20:57 <DIR> d-------- C:\bases_x
2007-07-23 20:56 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-07-23 20:56 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-07-23 20:56 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-07-23 20:56 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-07-23 20:56 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-07-23 20:56 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-07-23 20:54 153,600 --a------ C:\WINDOWS\R.COM
2007-07-23 20:54 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-07-23 16:25 <DIR> d-------- C:\VundoFix Backups
2007-07-23 15:49 21,693 --a------ C:\dnsbak.reg
2007-07-23 15:25 <DIR> d-------- C:\Programme\HJT
2007-07-22 22:15 <DIR> d-------- C:\Programme\Turbo Navigator
2007-06-28 21:35 4,762,112 --a------ C:\WINDOWS\system32\NCMedia.dll
2007-06-28 21:35 383,238 --a------ C:\WINDOWS\system32\libmp3lame-0.dll
2007-06-28 21:35 <DIR> d-------- C:\Programme\Smallvideosoft
2007-06-28 21:35 <DIR> d-------- C:\Mp3 Output
2007-06-27 21:32 33,824 --a------ C:\WINDOWS\system32\drivers\oreans32.sys
2007-06-27 20:34 <DIR> d-------- C:\Programme\Total Video Player


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-23 19:21:48 -------- d-----w C:\DOKUME~1\FELIXM~1\ANWEND~1\Azureus
2007-07-23 19:15:25 -------- d-----w C:\Programme\lg_fwupdate
2007-07-23 01:26:40 -------- d-----w C:\Programme\DLH98
2007-07-22 16:13:34 724,992 ----a-w C:\WINDOWS\iun6002.exe
2007-07-20 20:02:49 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-07-20 19:59:33 -------- d-----w C:\Programme\RTL Wintergames 2007
2007-06-28 19:32:36 -------- d-----w C:\Programme\Total Video Converter
2007-06-28 19:31:20 114,688 ----a-w C:\WINDOWS\system32\wmatimer.dll
2007-06-28 16:40:25 -------- d-----w C:\DOKUME~1\FELIXM~1\ANWEND~1\temp
2007-06-21 18:29:39 84,816 ----a-w C:\DOKUME~1\FELIXM~1\ANWEND~1\GDIPFONTCACHEV1.DAT
2007-06-21 12:31:45 -------- d--h--w C:\Programme\WindowsUpdate
2007-06-07 07:38:55 -------- d-----w C:\Programme\PartyGaming
2007-06-07 07:24:02 -------- d-----w C:\Programme\AOL 7.0
2007-06-05 18:23:56 -------- d-----w C:\Programme\Web Publish
2007-06-02 14:16:49 -------- d-----w C:\Programme\Google
2007-06-02 14:16:42 -------- d-----w C:\Programme\DivX
2007-05-31 06:45:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-05-31 06:44:55 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-05-31 06:44:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-05-31 06:44:54 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-05-31 06:44:54 740,442 ----a-w C:\WINDOWS\system32\DivX.dll
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-07 10:26:24 14,669 ----a-w C:\WINDOWS\mozver.dat
2007-05-02 18:04:14 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2007-05-02 18:04:14 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-05-02 18:04:14 116,472 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-23 00:15:29 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-04-23 00:15:18 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-04-23 00:15:18 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-04-23 00:02:34 73,728 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-04-23 00:02:34 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-04-23 00:02:33 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-04-23 00:02:31 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-04-23 00:02:31 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-04-23 00:02:31 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-04-23 00:01:47 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-04-23 00:01:46 124,472 ----a-w C:\WINDOWS\system32\DivXCodecUpdateChecker.exe
2004-10-01 13:00:16 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
2004-10-30 18:26:29 56 --sh--r C:\WINDOWS\system32\5555763A1F.sys


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 17:35]
"LGODDFU"="C:\Programme\lg_fwupdate\fwupdate.exe" [2005-04-12 10:11]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-07-14 15:48]
"D-Link AirPlus G"="C:\Programme\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 15:04]
"ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 18:19]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-30 20:18]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 06:03]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-06-16 06:03]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2005-10-13 02:20]
"Spyware Begone"="C:\freescan\freescan.exe" []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"SpecifyDefaultButtons"=0 (0x0)
"Btn_Search"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=C:\WINDOWS\pss\BTTray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^D-Link AirPlus DWL-120+ Wireless USB Adapter.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\D-Link AirPlus DWL-120+ Wireless USB Adapter.lnk
backup=C:\WINDOWS\pss\D-Link AirPlus DWL-120+ Wireless USB Adapter.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Felix Mühlberg^Startmenü^Programme^Autostart^ubisoft register.lnk]
path=C:\Dokumente und Einstellungen\Felix Mühlberg\Startmenü\Programme\Autostart\ubisoft register.lnk
backup=C:\WINDOWS\pss\ubisoft register.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
"C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVGCtrl]
"C:\Programme\AVPersonal\AVGNT.EXE" /min

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
"C:\Programme\D-Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DataLayer]
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
Dit.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus C64 Series]
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint]
"C:\Programme\Microsoft IntelliPoint\point32.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nokia Tray Application]
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VOBRegCheck]
C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\wqfqbocwnjyv]
C:\WINDOWS\System32\gqfnxq.exe

R0 prohlp02;StarForce Protection Helper Driver v2;C:\WINDOWS\system32\drivers\prohlp02.sys
R0 prosync1;StarForce Protection Synchronization Driver v1;C:\WINDOWS\system32\drivers\prosync1.sys
R0 sfhlp01;StarForce Protection Helper Driver;C:\WINDOWS\system32\drivers\sfhlp01.sys
R0 sfsync02;StarForce Protection Synchronization Driver (version 2.x);C:\WINDOWS\system32\drivers\sfsync02.sys
R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys
R0 sfvfs02;StarForce Protection VFS Driver (version 2.x);C:\WINDOWS\system32\drivers\sfvfs02.sys
R1 avgio;avgio;\??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys
R1 NPPTNT2;NPPTNT2;\??\C:\WINDOWS\System32\npptNT2.sys
R1 oreans32;oreans32;\??\C:\WINDOWS\system32\drivers\oreans32.sys
R1 papycpu2;papycpu2;C:\WINDOWS\system32\DRIVERS\papycpu2.sys
R1 papyjoy;papyjoy;C:\WINDOWS\system32\DRIVERS\papyjoy.sys
R1 prodrv06;StarForce Protection Environment Driver v6;C:\WINDOWS\system32\drivers\prodrv06.sys
R2 ACEDRV07;ACEDRV07;\??\C:\WINDOWS\system32\drivers\ACEDRV07.sys
R2 ANIO;ANIO Service;\??\C:\WINDOWS\system32\ANIO.SYS
R2 atksgt;atksgt;C:\WINDOWS\system32\DRIVERS\atksgt.sys
R2 BthServ;Bluetooth Support Service;C:\WINDOWS\system32\svchost.exe -k bthsvcs
R2 ElbyCDIO;ElbyCDIO Driver;C:\WINDOWS\system32\Drivers\ElbyCDIO.sys
R2 enodpl;enodpl;C:\WINDOWS\system32\drivers\enodpl.sys
R2 lirsgt;lirsgt;C:\WINDOWS\system32\DRIVERS\lirsgt.sys
R2 tandpl;tandpl;C:\WINDOWS\system32\drivers\tandpl.sys
R3 asapiW2k;ASAPIW2K;C:\WINDOWS\system32\Drivers\ASAPIW2K.sys
R3 avgntflt;avgntflt;\??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys
R3 ElbyCDFL;ElbyCDFL;C:\WINDOWS\system32\Drivers\ElbyCDFL.sys
R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\system32\DRIVERS\ctxs51.sys
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber;C:\WINDOWS\system32\drivers\msmpu401.sys
R3 MxlW2k;MxlW2k;C:\WINDOWS\system32\drivers\MxlW2k.sys
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys
R3 Point32;Microsoft IntelliPoint Filter Driver;C:\WINDOWS\system32\DRIVERS\point32.sys
R3 RT73;D-Link USB Wireless LAN Card Driver;C:\WINDOWS\system32\DRIVERS\Dr71WU.sys
R3 usbehci;Miniporttreiber fr erweiterten Microsoft USB 2.0-Hostcontroller;C:\WINDOWS\system32\DRIVERS\usbehci.sys
R3 usbhub;Microsoft USB-Standardhubtreiber;C:\WINDOWS\system32\DRIVERS\usbhub.sys
R3 usbohci;Miniporttreiber fr Microsoft USB Open Host-Controller;C:\WINDOWS\system32\DRIVERS\usbohci.sys
R3 usbstor;USB-Massenspeichertreiber;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
R3 wanatw;WAN Miniport (ATW);C:\WINDOWS\system32\DRIVERS\wanatw4.sys
R3 WmBEnum;Logitech Virtual Bus Enumerator Driver;C:\WINDOWS\system32\drivers\WmBEnum.sys
R3 WmXlCore;Logitech WingMan Translation Layer Driver;C:\WINDOWS\system32\drivers\WmXlCore.sys
S2 Fax;Fax;C:\WINDOWS\system32\fxssvc.exe
S3 ATWPKT;ATWPKT;\??\C:\WINDOWS\system32\Drivers\ATWPKT.SYS
S3 BthEnum;Bluetooth-Anforderungsblocktreiber;C:\WINDOWS\system32\DRIVERS\BthEnum.sys
S3 BTHMODEM;Serieller Kommunikationstreiber fr Bluetooth;C:\WINDOWS\system32\DRIVERS\bthmodem.sys
S3 BthPan;Bluetooth-Ger„t (PAN);C:\WINDOWS\system32\DRIVERS\bthpan.sys
S3 BTHPORT;Bluetooth-Porttreiber;C:\WINDOWS\system32\Drivers\BTHport.sys
S3 BTHUSB;USB-Treiber fr Bluetooth-Funkger„t;C:\WINDOWS\system32\Drivers\BTHUSB.sys
S3 BTWUSB;WIDCOMM USB Bluetooth Driver;C:\WINDOWS\system32\Drivers\btwusb.sys
S3 D-Link FVNETusb (AR)(R);D-Link FVNETusb (AR)(R) Service for D-Link DWL-120 Wireless USB Adapter;C:\WINDOWS\system32\DRIVERS\vnetusbr.sys
S3 HidUsb;Microsoft HID Class-Treiber;C:\WINDOWS\system32\DRIVERS\hidusb.sys
S3 LcdMini;LcdMini Device;C:\WINDOWS\system32\DRIVERS\LcdMini.sys
S3 MSIRCOMM;Microsoft IR Communications Driver;C:\WINDOWS\system32\DRIVERS\MSIRCOMM.sys
S3 RFCOMM;Bluetooth-Ger„t (RFCOMM-Protokoll-TDI);C:\WINDOWS\system32\DRIVERS\rfcomm.sys
S3 SaiNtHid;%SAINTHID_NAME%;C:\WINDOWS\system32\DRIVERS\SaiNtHid.sys
S3 SaiNtSub;SaiNtSub;C:\WINDOWS\system32\DRIVERS\SaiNtSub.sys
S3 sscdbus;SAMSUNG USB Composite Device driver (WDM);C:\WINDOWS\system32\DRIVERS\sscdbus.sys
S3 sscdmdfl;SAMSUNG CDMA Modem Filter;C:\WINDOWS\system32\DRIVERS\sscdmdfl.sys
S3 sscdmdm;SAMSUNG CDMA Modem Drivers;C:\WINDOWS\system32\DRIVERS\sscdmdm.sys
S3 STIrUsb;SigmaTel USB-IrDA-Dongle;C:\WINDOWS\system32\DRIVERS\irstusb.sys
S3 usbprint;Microsoft USB-Druckerklasse;C:\WINDOWS\system32\DRIVERS\usbprint.sys
S3 WmFilter;Logitech WingMan HID Filter Driver;C:\WINDOWS\system32\drivers\WmFilter.sys
S3 WmVirHid;Logitech Virtual Hid Device Driver;C:\WINDOWS\system32\drivers\WmVirHid.sys
S3 X10UIF;%DESCRIPTION%;C:\WINDOWS\system32\Drivers\x10uif.sys

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs BthServ


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-23 21:21:27
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-23 21:22:55
C:\ComboFix-quarantined-files.txt ... 2007-07-23 21:22

--- E O F ---

muehle 23.07.2007 20:33
hier jetzt die filelisten:

system 32:
23.07.2007 21:02 3.284 ANIWZCS{E8E8A710-B206-45AB-9B67-C90745BE5564}
23.07.2007 16:33 2.206 wpa.dbl
22.07.2007 18:39 279.552 swreg.exe
28.06.2007 21:31 114.688 wmatimer.dll
28.06.2007 09:57 16.256.984 MRT.exe

prefetch:
23.07.2007 21:26 53.942 CMD.EXE-087B4001.pf
23.07.2007 21:26 154.696 WINRAR.EXE-3588DFE8.pf
23.07.2007 21:26 17.012 VERCLSID.EXE-3667BD89.pf
23.07.2007 21:25 10.862 GETODD.EXE-02318860.pf
23.07.2007 21:23 19.310 IMAPI.EXE-0BF740A4.pf
23.07.2007 21:23 9.438 NIRCMD.EXE-2C39EF53.pf
23.07.2007 21:23 15.180 REGEDIT.EXE-1B606482.pf
23.07.2007 21:23 70.572 ICQLITE.EXE-2AEFACA7.pf
23.07.2007 21:23 14.732 NOTEPAD.EXE-336351A9.pf
23.07.2007 21:23 79.518 EXPLORER.EXE-082F38A9.pf
23.07.2007 21:22 4.612 HANDLE.CFEXE-13427ED2.pf
23.07.2007 21:22 48.484 CATCHME.CFEXE-0F2A0789.pf
23.07.2007 21:22 8.634 NIRCMD.CFEXE-19FF4781.pf
23.07.2007 21:22 5.616 TREE.COM-0A9AA73A.pf
23.07.2007 21:22 10.756 SORT.EXE-194AE83C.pf
23.07.2007 21:22 38.962 DUMPHIVE.CFEXE-2ED3B134.pf
23.07.2007 21:22 90.994 WMIPRVSE.EXE-28F301A9.pf
23.07.2007 21:22 30.706 CSCRIPT.EXE-1C26180C.pf
23.07.2007 21:21 10.658 SWREG.CFEXE-2BF4FFCD.pf
23.07.2007 21:21 11.374 FINDSTR.EXE-0CA6274B.pf
23.07.2007 21:21 14.770 REGT.CFEXE-15DB5DAE.pf
23.07.2007 21:21 4.424 VFIND.CFEXE-2033727F.pf
23.07.2007 21:21 12.372 FIND.EXE-0EC32F1E.pf
23.07.2007 21:21 3.778 SED.CFEXE-268D7E58.pf
23.07.2007 21:20 11.508 ATTRIB.EXE-39EAFB02.pf
23.07.2007 21:20 7.806 SWXCACLS.CFEXE-365F7973.pf
23.07.2007 21:20 7.434 SWSC.CFEXE-3B4FE4FE.pf
23.07.2007 21:19 74.788 IEXPLORE.EXE-2CA9778D.pf
23.07.2007 21:19 4.178 MTEE.CFEXE-1E067BC7.pf
23.07.2007 21:17 69.206 DIVX PLAYER.EXE-0459E47A.pf
23.07.2007 21:15 43.306 WMPLAYER.EXE-0996933B.pf
23.07.2007 21:14 2.792 VFIND.EXE-0CB9A64E.pf
23.07.2007 21:13 3.828 SF.CFEXE-164B3B2D.pf
23.07.2007 21:13 5.568 CHCP.COM-18156052.pf
23.07.2007 21:12 20.944 SETPATH.CFEXE-034E3D26.pf
23.07.2007 21:12 69.846 CHKDSK.EXE-2CC4C59D.pf
23.07.2007 21:12 10.558 SWREG.EXE-3560BE42.pf
23.07.2007 21:12 8.380 NIRCMD.EXE-1F7FED22.pf
23.07.2007 21:12 43.694 COMBOFIX.EXE-2B114AF7.pf
23.07.2007 21:09 26.478 CLEANMGR.EXE-1F86EA8E.pf
23.07.2007 20:57 11.136 REG.EXE-0D2A95F7.pf
23.07.2007 20:57 6.078 MORE.COM-32DCB7E4.pf
23.07.2007 20:55 17.730 DOWNLOAD.EXE-13FCCD1C.pf
23.07.2007 20:55 16.620 MWAVL.EXE-05814FBF.pf
23.07.2007 20:55 48.498 SCANNINGPROCESS.EXE-37DDC925.pf
23.07.2007 20:55 45.738 MEXE.COM-0A264278.pf
23.07.2007 20:54 77.454 MWAV.EXE-18624A82.pf
23.07.2007 20:52 47.624 HJT.COM-30337A86.pf
23.07.2007 20:31 84.360 AZUREUS.EXE-018E10AA.pf
23.07.2007 20:24 39.436 HELPSVC.EXE-2878DDA2.pf
23.07.2007 19:42 36.550 WUAUCLT.EXE-399A8E72.pf
23.07.2007 19:41 45.150 RUNDLL32.EXE-13404D23.pf
23.07.2007 18:35 22.246 AVGNT.EXE-36CA4640.pf
23.07.2007 18:35 14.242 REGSVR32.EXE-25EEFE2F.pf
23.07.2007 18:34 44.650 UPDATE.EXE-13D57D76.pf
23.07.2007 18:34 13.262 PREUPD.EXE-358AA1C1.pf
23.07.2007 16:54 80.460 DFRGNTFS.EXE-269967DF.pf
23.07.2007 16:54 17.766 DEFRAG.EXE-273F131E.pf
23.07.2007 16:54 563.618 Layout.ini
23.07.2007 16:35 1.172.078 NTOSBOOT-B00DFAAD.pf
23.07.2007 16:31 18.710 GUARDGUI.EXE-1BD45C30.pf
23.07.2007 16:18 15.078 RUNDLL32.EXE-451FC2C0.pf
23.07.2007 15:55 47.608 AGENT.EXE-027CAB18.pf
23.07.2007 15:55 5.010 ISSCH.EXE-13FD372D.pf
23.07.2007 15:55 19.410 AIRGCFG.EXE-0D3FF1DA.pf
23.07.2007 15:55 4.928 WZCSLDR2.EXE-1EF85E7E.pf
23.07.2007 15:55 20.416 FWUPDATE.EXE-2A6D5E46.pf
23.07.2007 15:55 17.924 PDVDSERV.EXE-1624A5E5.pf
23.07.2007 15:54 8.126 QTTASK.EXE-2D7EEF34.pf
23.07.2007 15:54 6.422 NEROCHECK.EXE-092C6DFA.pf
23.07.2007 15:50 19.626 LOGONUI.EXE-0AF22957.pf
23.07.2007 14:58 67.892 AVNOTIFY.EXE-22AE9451.pf
23.07.2007 12:25 24.036 TASKMGR.EXE-20256C55.pf
22.07.2007 22:29 71.674 DWWIN.EXE-30875ADC.pf
21.07.2007 13:41 51.628 TVGENIAL.EXE-2DC14D7B.pf

windows:
23.07.2007 21:08 227.228 setupact.log
23.07.2007 20:55 786 win.ini
23.07.2007 20:55 26 Lic.xxx
23.07.2007 19:41 1.248.802 WindowsUpdate.log
23.07.2007 16:33 5.480 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
23.07.2007 16:33 284 lgfwup.ini
23.07.2007 16:33 0 0.log
23.07.2007 16:33 2.048 bootstat.dat
23.07.2007 16:32 32.622 SchedLgU.Txt
23.07.2007 14:14 1.822.398 ntbtlog.txt
22.07.2007 18:13 724.992 iun6002.exe
21.07.2007 19:54 116 NeroDigital.ini
20.07.2007 00:47 109.056 catchme.exe
13.07.2007 21:46 182.354 iis6.log
13.07.2007 21:46 449.363 tsoc.log
13.07.2007 21:46 1.374 imsins.log
13.07.2007 21:46 226.194 ntdtcsetup.log
13.07.2007 21:46 55.252 ocmsn.log
13.07.2007 21:46 372.217 comsetup.log
13.07.2007 21:46 10.687 KB936357.log
13.07.2007 21:46 568.241 ocgen.log
13.07.2007 21:46 57.088 msgsocm.log
13.07.2007 21:46 1.140.482 FaxSetup.log
13.07.2007 21:46 130.357 setupapi.log
08.07.2007 15:21 497.751 wmsetup.log
28.06.2007 21:40 37 vbaddin.ini
27.06.2007 21:32 54.156 QTFont.qfn

tasks:
23.07.2007 16:33 6 SA.DAT

lokale temps:
23.07.2007 21:26 144.834 filelist.txt
23.07.2007 21:12 16.384 ~DFBB2.tmp
23.07.2007 21:12 16.384 ~DFFFA0.tmp
23.07.2007 21:12 512 ~DFFFB3.tmp
23.07.2007 16:33 16.384 ~DFC2D1.tmp

temps: ----

Sunny 23.07.2007 20:36
Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:
Files to delete:
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

4.) Danach das System unverzüglich neu starten lassen
5.) Poste ausserdem den Inhalt der C:\avenger.txt Datei.



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:
C:\WINDOWS\System32\gqfnxq.exe
c:\windows\System32\swreg.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

muehle 23.07.2007 20:36
hier das letzte puzzlestück:

"Silent Runners.vbs", revision R50, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"msnmsgr" = ""C:\Programme\MSN Messenger\msnmsgr.exe" /background" [MS]
"Spyware Begone" = "C:\freescan\freescan.exe -FastScan" [file not found]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"RemoteControl" = ""C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"" ["Cyberlink Corp."]
"LGODDFU" = "C:\Programme\lg_fwupdate\fwupdate.exe" [null data]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"D-Link AirPlus G" = "C:\Programme\D-Link\AirPlus G\AirGCFG.exe" ["D-Link"]
"ANIWZCS2Service" = "C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" ["Alpha Networks Inc."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"ISUSPM Startup" = "C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup" ["InstallShield Software Corporation"]
"ISUSScheduler" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start" ["InstallShield Software Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{F5D92341-0A64-11D0-9956-0000E8096023}" = "CD Copy Shell Extension"
-> {HKLM...CLSID} = "CD Copy Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWshext.dll" ["VoB Computersysteme GmbH"]
"{F5D92342-0A64-11D0-9956-0000E8096023}" = "CD Wizard Shell Extension"
-> {HKLM...CLSID} = "CD Wizard Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWshext.dll" ["VoB Computersysteme GmbH"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{15362FA5-C983-41ed-B7AC-5B9BEAF56929}" = "AOL"
-> {HKLM...CLSID} = "AOL"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\aolshare\shell\de\shellext.dll" ["America Online, Inc."]
"{8FF88D21-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.2 Context Menu Shell Extension"
-> {HKLM...CLSID} = "WinAceContext Menu Extension"
\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.2 DragDrop Shell Extension"
-> {HKLM...CLSID} = "WinAceDrag-Drop Extension"
\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.2 Context Menu Shell Extension"
-> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"
\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D23-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.2 Property Sheet Shell Extension"
-> {HKLM...CLSID} = "WinAceProperty Sheet Extension"
\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]

muehle 23.07.2007 20:53
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ikvokuxq

*******************

Script file located at: \??\C:\WINDOWS\system32\eqnwajvo.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Error: C:\WINDOWS\system32\iifgfgf.dll is a folder, not a file!
Deletion of file C:\WINDOWS\system32\iifgfgf.dll failed!

Could not process line:
C:\WINDOWS\system32\iifgfgf.dll
Status: 0xc00000ba



Error: C:\WINDOWS\rundll16.exe is a folder, not a file!
Deletion of file C:\WINDOWS\rundll16.exe failed!

Could not process line:
C:\WINDOWS\rundll16.exe
Status: 0xc00000ba



Error: C:\WINDOWS\rundl132.dll is a folder, not a file!
Deletion of file C:\WINDOWS\rundl132.dll failed!

Could not process line:
C:\WINDOWS\rundl132.dll
Status: 0xc00000ba



Error: C:\WINDOWS\logo1_.exe is a folder, not a file!
Deletion of file C:\WINDOWS\logo1_.exe failed!

Could not process line:
C:\WINDOWS\logo1_.exe
Status: 0xc00000ba


Completed script processing.

*******************
Antivirus Version Last Update Result
AhnLab-V3 2007.7.24.0 2007.07.23 no virus found
AntiVir 7.4.0.44 2007.07.23 no virus found
Authentium 4.93.8 2007.07.23 could be a corrupted executable file
Avast 4.7.997.0 2007.07.23 no virus found
AVG 7.5.0.476 2007.07.22 no virus found
BitDefender 7.2 2007.07.23 no virus found
CAT-QuickHeal 9.00 2007.07.23 no virus found
ClamAV devel-20070416 2007.07.23 no virus found
DrWeb 4.33 2007.07.23 no virus found
eSafe 7.0.15.0 2007.07.23 suspicious Trojan/Worm
eTrust-Vet 31.1.5002 2007.07.23 no virus found
Ewido 4.0 2007.07.23 no virus found
FileAdvisor 1 2007.07.23 no virus found
Fortinet 2.91.0.0 2007.07.23 no virus found
F-Prot 4.3.2.48 2007.07.20 no virus found
F-Secure 6.70.13030.0 2007.07.23 no virus found
Ikarus T3.1.1.8 2007.07.23 no virus found
Kaspersky 4.0.2.24 2007.07.23 no virus found
McAfee 5080 2007.07.23 no virus found
Microsoft 1.2704 2007.07.23 no virus found
NOD32v2 2415 2007.07.23 no virus found
Norman 5.80.02 2007.07.23 no virus found
Panda 9.0.0.4 2007.07.23 no virus found
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.21 no virus found
Symantec 10 2007.07.23 no virus found
TheHacker 6.1.7.152 2007.07.23 no virus found
VBA32 3.12.2.1 2007.07.23 no virus found
VirusBuster 4.3.26:9 2007.07.23 no virus found
Webwasher-Gateway 6.0.1 2007.07.23 no virus found
Additional information
File size: 279552 bytes
MD5: 5dbee2a187ff4ba477c1c8b08682a585
SHA1: 5697e3c37b81f5e97da0b38227b408ee6a4112a5
packers: UPX
packers: UPX
packers: UPX


die andere exe nach der ich suchen sollte existiert nicht

Mobius07 23.07.2007 21:28
Ehrlich gesagt: Ich link mich auch hier raus. Viel Erfolg beim bereinigen!

Hubicka 08.11.2007 21:21
Hallo ich habe auch einen Trojaner

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:45 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55