Trojaner-Board - brauche hilfe : vendo und mundor

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - brauche hilfe : vendo und mundor (https://www.trojaner-board.de/54449-brauche-hilfe-vendo-mundor.html)

brauche hilfe : vendo und mundor

hallo leute!

ich bin neu hier und wollte fragen wie ich die trojaner die ich da eingefangen habe, wieder wegkriege?

grüße und danke im voraus

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:56:52, on 21.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WinTV\WinTV\Ir.exe
d:\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
C:\Sygate Personal Firewall\smc.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Mozilla Firefox\firefox.exe
C:\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {81EA3F36-357A-435A-8741-52C27CCC9F21} - C:\WINDOWS\system32\wvUoLdby.dll
O2 - BHO: (no name) - {A3CCAE56-7667-456E-A9CE-D78FA273193B} - C:\WINDOWS\system32\byXRkHYQ.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GEST] =
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [SmcService] C:\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [WinampAgent] C:\Winamp\winampa.exe
O4 - HKLM\..\Run: [LaunchList] C:\Pinnacle PCTV\LaunchList.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\WinTV\WinTV\Ir.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/...an_unicode.cab
O20 - Winlogon Notify: wvUoLdby - C:\WINDOWS\SYSTEM32\wvUoLdby.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - d:\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Sygate Personal Firewall\smc.exe

--
End of file - 5262 bytes

Hi und :hallo:

Bitte lass als erstes Malwarebytes laufen, alles löschen was er findet und den Report posten:daumenhoc
Dazu auch ein neues Hijackthis Logfile

also hier der malwarebytes bericht:
c:\windws\system32\byXRkHYQ.dll
und c:\windows\system32\wvUoLdby.dll kann wohl erst nach einem neustart entfernt werden...werde den jetzt durchführen und dann HJT mal wieder laufen lassen.

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 875

21:41:01 21.06.2008
mbam-log-6-21-2008 (21-41-01).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|I:\|)
Objekte gescannt: 97412
Scan Dauer: 12 minute(s), 16 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 2
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\byXRkHYQ.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\wvUoLdby.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f6f978f5-4e67-458d-8f47-53dc76557ae4} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f6f978f5-4e67-458d-8f47-53dc76557ae4} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{81ea3f36-357a-435a-8741-52c27ccc9f21} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{81ea3f36-357a-435a-8741-52c27ccc9f21} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvuoldby (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{81ea3f36-357a-435a-8741-52c27ccc9f21} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\byxrkhyq -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\byxrkhyq -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\byXRkHYQ.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\QYHkRXyb.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\QYHkRXyb.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wvUoLdby.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\ddcDuSji.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\khfDwWPI.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\opnmmMcy.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

und hier der neue hijack-this bericht nach dem neustart:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:49:29, on 21.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WinTV\WinTV\Ir.exe
d:\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
C:\Sygate Personal Firewall\smc.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GEST] =
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [SmcService] C:\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [WinampAgent] C:\Winamp\winampa.exe
O4 - HKLM\..\Run: [LaunchList] C:\Pinnacle PCTV\LaunchList.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\WinTV\WinTV\Ir.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/...an_unicode.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - d:\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Sygate Personal Firewall\smc.exe

--
End of file - 4968 bytes

oki doki

dann lade nun bitte folgende datei bei virustotal hoch und poste das Ergebnis:

d:\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe

oki... dann hier das ergebnis von dem online scann:
obwohl ich nicht glaube dass an der datei etwas verkehrt ist...aber wer weiß das schon heutzutage :balla:

AhnLab-V3 2008.6.19.0 2008.06.20 -
AntiVir 7.8.0.59 2008.06.21 -
Authentium 5.1.0.4 2008.06.20 -
Avast 4.8.1195.0 2008.06.21 -
AVG 7.5.0.516 2008.06.21 -
BitDefender 7.2 2008.06.21 -
CAT-QuickHeal 9.50 2008.06.20 -
ClamAV 0.93.1 2008.06.21 -
DrWeb 4.44.0.09170 2008.06.21 -
eSafe 7.0.15.0 2008.06.19 -
eTrust-Vet 31.6.5892 2008.06.21 -
Ewido 4.0 2008.06.21 -
F-Prot 4.4.4.56 2008.06.20 -
F-Secure 7.60.13501.0 2008.06.20 -
Fortinet 3.14.0.0 2008.06.21 -
GData 2.0.7306.1023 2008.06.21 -
Ikarus T3.1.1.26.0 2008.06.21 -
Kaspersky 7.0.0.125 2008.06.21 -
McAfee 5322 2008.06.20 -
Microsoft 1.3604 2008.06.21 -
NOD32v2 3206 2008.06.21 -
Norman 5.80.02 2008.06.20 -
Panda 9.0.0.4 2008.06.21 -
Prevx1 V2 2008.06.21 -
Rising 20.49.52.00 2008.06.21 -
Sophos 4.30.0 2008.06.21 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.21 -
TheHacker 6.2.92.358 2008.06.21 -
TrendMicro 8.700.0.1004 2008.06.20 -
VBA32 3.12.6.7 2008.06.21 -
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.21 -
weitere Informationen
File size: 98488 bytes
MD5...: 6cfe2c7e666648083f67ea9a6918cfe4
SHA1..: 4940c300dea8cbbcfedfb3b48d3e7d3d5822abf8
SHA256: 1db46e66f05f65e981ba34cdc9355376b0813538511087c747da3ec650956da3
SHA512: f34b153f8879a7463899bc85ae29ba72b66268ad87346d5bb480328e048b218d
b6f1bf8395eefdd34511cc42912dd38b78db9ae2e1d18b2e0c7057430b845fcc
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x405046
timedatestamp.....: 0x480e1eba (Tue Apr 22 17:22:02 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x47bb 0x5000 5.79 0afab4cbaa8abca5cf13d8dfbcbd5f9f
.rdata 0x6000 0x27d8 0x3000 4.09 b729c09dd1eaad1dd1b65acc1ba1af26
.data 0x9000 0x958 0x1000 3.03 ad47e0d47569e3416bba4957fd1b5058
.rsrc 0xa000 0xcc18 0xd000 6.10 436b2da6cfd412faf615229522ac10a2

( 14 imports )
> RPCRT4.dll: RpcImpersonateClient, RpcMgmtStopServerListening, RpcRevertToSelfEx, RpcServerUseProtseqW, RpcServerRegisterIf2, RpcServerInqBindings, RpcBindingVectorFree, RpcEpUnregister, RpcMgmtWaitServerListen, RpcServerListen, RpcEpRegisterW, RpcServerRegisterAuthInfoW, NdrServerCall2
> Secur32.dll: GetComputerObjectNameW
> WINTRUST.dll: WinVerifyTrust
> NTDSAPI.dll: DsFreeSpnArrayW, DsGetSpnW, DsBindW, DsWriteAccountSpnW, DsUnBindW
> NETAPI32.dll: NetApiBufferFree, DsGetDcNameW
> imagehlp.dll: ImageEnumerateCertificates, ImageGetCertificateData, ImageGetCertificateHeader
> CRYPT32.dll: CryptVerifyMessageSignature, CertFreeCertificateContext, CertComparePublicKeyInfo
> USERENV.dll: DestroyEnvironmentBlock, CreateEnvironmentBlock
> KERNEL32.dll: TerminateProcess, ReleaseMutex, WTSGetActiveConsoleSessionId, lstrcpyW, GetLastError, GetModuleFileNameW, CreateMutexW, lstrlenW, GetTempPathW, CreateDirectoryW, GetVersionExW, CreateFileW, WriteFile, HeapAlloc, GetProcessHeap, HeapFree, CloseHandle, LocalFree, Sleep, SetConsoleCtrlHandler, WaitForSingleObject, ReadFile, DeleteFileW, GetLocalTime, GetDateFormatW, GetTimeFormatW, GetNativeSystemInfo, GetCurrentThreadId, lstrcmpiW, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetCurrentThread, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GenerateConsoleCtrlEvent, AttachConsole, GetFileSize, FreeConsole, GetCurrentProcess, InterlockedCompareExchange, InterlockedExchange, FormatMessageW
> USER32.dll: LoadStringW
> ADVAPI32.dll: RegisterEventSourceW, RegQueryValueExW, RegOpenKeyExW, GetUserNameW, RegCloseKey, RegSetValueExW, RegCreateKeyExW, CryptGenRandom, CryptDecrypt, CryptEncrypt, CryptDestroyHash, CryptDeriveKey, CryptHashData, CryptCreateHash, CryptReleaseContext, CryptDestroyKey, CryptGenKey, CryptAcquireContextW, StartServiceCtrlDispatcherW, DeleteService, QueryServiceStatus, ControlService, OpenServiceW, CloseServiceHandle, ChangeServiceConfig2W, CreateServiceW, OpenSCManagerW, DeregisterEventSource, ReportEventW, SetServiceStatus, RegisterServiceCtrlHandlerW, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, RevertToSelf, CreateProcessAsUserW, ImpersonateLoggedOnUser, SetTokenInformation, DuplicateTokenEx, GetTokenInformation, OpenThreadToken
> ole32.dll: CoCreateInstance, CoUninitialize, CoCreateGuid, CoInitializeSecurity, CoInitializeEx
> OLEAUT32.dll: -, -, -, -, -
> MSVCR80.dll: __p__commode, __p__fmode, _encode_pointer, __set_app_type, _crt_debugger_hook, _terminate@@YAXXZ, __type_info_dtor_internal_method@type_info@@QAEXXZ, _unlock, __dllonexit, _lock, _onexit, _decode_pointer, _except_handler4_common, _invoke_watson, _controlfp_s, _adjust_fdiv, __setusermatherr, _configthreadlocale, _initterm_e, _initterm, __winitenv, __wgetmainargs, _cexit, _exit, _XcptFilter, __CxxFrameHandler3, memset, memcpy, _amsg_exit, wcsrchr, _vsnwprintf_s, __3@YAXPAX@Z, wcsncpy_s, __2@YAPAXI@Z, ceil, exit, _wcsicmp, wprintf, _snwprintf_s, wcsncat_s

( 0 exports )

Mmhh irgendwie trau ich der datei nich....(muss mal noch überlegen)

Bitte wende nun ComboFix (signatur) an und poste das Ergebnis:daumenhoc

Zitat:

Zitat von trojan-death (Beitrag 348173)

Mmhh irgendwie trau ich der datei nich....(muss mal noch überlegen)

Wie wäre es google zu bemühen und dann auf dieses Ergebnis zu stoßen:
it's safe to use (unter vielen)

Und somit der Dateien vertrauen zu können.

Zitat:

Bitte wende nun ComboFix (signatur) an und poste das Ergebnis:daumenhoc

Du wurdest bereits darauf hingewiesen, dass Combofix nur von Leuten angewendet werden soll, die damit umgehen können. (Das impliziert, dass du das Programm nicht gut genug kennst um es anwenden zu lassen.)

Wenn du die Analysemöglichkeiten, die Combofix bietet nutzen möchtest, nimm doch DSS:

DSS

Lade dir DSS
Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
Führe während DSS arbeitet bitte keine anderen Aktionen durch
Am Ende öffnen sich 2 Datein main.txt und extra.txt
Poste den Inhalt beider Dateien hier

lg myrtille

Zitat:

Zitat von myrtille (Beitrag 348177)

Wie wäre es google zu bemühen und dann auf dieses Ergebnis zu stoßen:
it's safe to use (unter vielen)

Und somit der Dateien vertrauen zu können.

Ich sagte ja ich muss mich zuerst informieren:daumenhoc

Zitat:

Zitat von myrtille (Beitrag 348177)

Und wo bitteschön?? Weiss auch nicht wie du jetzt darauf kommst das ich das Programm nicht gut genug kenne:confused:
Diejenigen vom Kompetenzzentrum sind nicht die einzigen die ComboFix kennen:aplaus:

Zitat:

Zitat von trojan-death (Beitrag 348181)

Ich sagte ja ich muss mich zuerst informieren:daumenhoc

Na... dann gut das du uns an all deine Gedanken teilhaben lässt.

Zitat:

Das ist keine Frage von KT oder nicht KT, das in eine Frage von Kenntnissen:
Weißt du wie du fälschlich gelöschte Dateien von CF wiederherstellst?
Weißt du wie du fälschlich gelöschte Registryeinträge von CF wiederherstellst?
Weißt du was zu tun ist, wenn wegen der gelöschten Einträge Windows nicht mehr starten kann?
Weißt du was zu tun ist, wenn sich das Programm aufhängt?
Weißt du wann man CF anwenden muss, wann man es kann und wann man es besser nicht tut? Ganz offensichtlich nicht! Sonst hättest du es hier nicht empfohlen.

und last but not least: Weißt du was der Autor des Programms für Anforderungen an die Nutzer von CF gestellt hat? Nein? Ich weiß es und kann dir daher sagen, dass du nicht qualifiziert bist.

Ich poste sowas in der Regel nicht aus Spass an der Freude, glaub mir.

lg myrtille

Hallo myrtille, ich würde gerne mal mein Wissen bereichern und deshalb frage ich, was ComboFix ist und macht, und weswegen davon gewarnt wird.
Ein Link zu einer Erklärung wär am besten, danke
mfg :)

Zitat:

Zitat von Dark Viruz (Beitrag 348185)

Schliesse mich an:Boogie:

Alle öffentlich verfügbaren Informationen findet man in der offiziellen Anleitung

Alle weiterführenden Informationen sollen nicht öffentlich gemacht werden, sondern können nach erreichen des entsprechenden Wissenstandes und dem Beitritt eines Teams (entweder Teammitglied oder Lehrling oder ...) eingesehen werden.

Sorry, aber das ist noch ein langer Weg. :p
lg myrtille

Danke dir, myrtille :)