Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Virus (Trojan Vundo.DVS??) eingefangen - Internet funktioniert nicht mehr richtig. (https://www.trojaner-board.de/58912-virus-trojan-vundo-dvs-eingefangen-internet-funktioniert-mehr-richtig.html)

NikiG. 01.09.2008 10:05
Virus (Trojan Vundo.DVS??) eingefangen - Internet funktioniert nicht mehr richtig.
 
Hallo, ich habe mir gestern einen bösen Virus eingefangen. Die Festplatte wurde nicht mehr angezeigt und dieses Bild war auf dem Desktop sichtbar. http://www.ke-mafia.com/danger.JPG. Dauernd wurde ich aufgefordert irgendwelche kostenpflichtigen Spyware Programme runterzuladen. Den Spruch "Your Privacy is in Danger" gab ich dann bei google an, wo ich ein Programm namens Smitfraudfix fand, dass den gröbsten Teil des Virus entfernen konnte.

Jedoch kommen weiterhin dauernd Spyware-Popups und viele Internetseiten lassen sich überhaupt nicht aufrufen bzw. laden nur halb. Auch Spybot und Ad-Aware habe ich laufen lassen, die haben aber nur wenig gefunden. Mein BitDefender hat einen Virus namens Trojan.Vundo.DVS erkannt, der mehrere System 32 Dateien (bak1, bak2, ini2, tmp) infiziert hat. Wenn ich bei google suchen will, werde ich meistens zu bediddle.com weitergeleitet, was mir nicht weiterhilft.

Ich muss zugeben, dass ich am PC nicht die ultra-ahnung habe und jetzt alleine nicht mehr weiter weiß. Hab schon gelesen, dass man sogenannte Hijack-Logs posten soll, kann damit aber leider nix anfangen. Ich hoffe von Euch kann mir jemand weiterhelfen.

Mfg
Niki

undoreal 01.09.2008 10:27
Halli hallo.

Scanne deinen Rechner mit SuperAntiSpyware und Anti-Malware und poste die logs.

NikiG. 01.09.2008 10:41
Zitat:
Zitat von undoreal (Beitrag 367733)
Halli hallo.

Scanne deinen Rechner mit SuperAntiSpyware und Anti-Malware und poste die logs.
Vielen Dank für die schnelle Antwort.

Ich kann leider auf beide Dateien nicht zugreifen. Mein Firefox zeigt "Verbindung fehlgeschlagen" an.

Gruß Niki

undoreal 01.09.2008 10:44
Das ist natürlich etwas dämlich.

Dann weichen wir auf Combofix aus.

HIER gibt es das Programm.

Passwort ist infected !

NikiG. 01.09.2008 10:56
Des ComboFix hat "Rootkit Activity" festgestellt und den PC neu gestartet. Mehr kam dann aber nicht.

Ich frag mich ob ich des Programm vollständig runterladen konnte, weil beim ersten mal waren es nur paar kb. Beim zweiten mal 2,66 MB. Ist es denn wirklich nur so groß oder hab ich vllt sonst irgendwas übersehen?

Gruß Niki

undoreal 01.09.2008 11:10
Lasse Blacklight laufen. Evtl. Funde bitte umbennen/beheben lassen.

Danach starte CF nochmal..

NikiG. 01.09.2008 11:19
Ich befürchte ich bin ein hoffnungsloser Fall. Auch den Blackight kann ich nicht runterladen. :-(

undoreal 01.09.2008 12:44
Zitat:
Ich befürchte ich bin ein hoffnungsloser Fall.
Sowas wollen wir hier nicht hören!

Hier gibt's Blacklight für dich: fsbl
Passwort ist wieder infected

NikiG. 01.09.2008 14:38
So, erstmal Vielen Dank für die nette Unterstützung bis hierhin. Ich weiß das wirklich zu schätzen.

Ich hab mir die Programme SuperAntiSpyware und AntiMaleware do noch organisieren können. (Ein Bekannter hat sie mir per E-Mail geschickt und ich konnte sie glücklicherweise abrufen.)

Hier ist erstmal das SuperAntiSpyware Log:

Code:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/01/2008 at 03:19 PM

Application Version : 4.20.1046

Core Rules Database Version : 3553
Trace Rules Database Version: 1542

Scan type      : Complete Scan
Total Scan Time : 00:54:41

Memory items scanned      : 567
Memory threats detected  : 0
Registry items scanned    : 5536
Registry threats detected : 9
File items scanned        : 79462
File threats detected    : 24

Trojan.WinFixer
        HKLM\Software\Classes\CLSID\{8A6934D7-F3D4-4476-B6E9-FC3AD20BE202}
        HKCR\CLSID\{8A6934D7-F3D4-4476-B6E9-FC3AD20BE202}
        HKCR\CLSID\{8A6934D7-F3D4-4476-B6E9-FC3AD20BE202}\InprocServer32
        HKCR\CLSID\{8A6934D7-F3D4-4476-B6E9-FC3AD20BE202}\InprocServer32#ThreadingModel
        C:\WINDOWS\SYSTEM32\PMKJI.DLL
        HKLM\Software\Classes\CLSID\{CA23BE0C-E842-406B-AE86-AA85492759BC}
        HKCR\CLSID\{CA23BE0C-E842-406B-AE86-AA85492759BC}
        HKCR\CLSID\{CA23BE0C-E842-406B-AE86-AA85492759BC}\InprocServer32
        HKCR\CLSID\{CA23BE0C-E842-406B-AE86-AA85492759BC}\InprocServer32#ThreadingModel
        C:\WINDOWS\SYSTEM32\PMNNK.DLL

Adware.Tracking Cookie
        C:\Dokumente und Einstellungen\Niki\Cookies\niki@ads.profootballtalk[2].txt
        C:\Dokumente und Einstellungen\Niki\Cookies\niki@a6.adserver01[1].txt
        C:\Dokumente und Einstellungen\Niki\Cookies\niki@indextools[2].txt
        C:\Dokumente und Einstellungen\Niki\Cookies\niki@adtech[1].txt
        C:\Dokumente und Einstellungen\Niki\Cookies\niki@adserver.71i[1].txt
        C:\Dokumente und Einstellungen\Niki\Cookies\niki@ads.pointroll[1].txt
        C:\Dokumente und Einstellungen\Niki\Cookies\niki@adbrite[2].txt
        C:\Dokumente und Einstellungen\Niki\Cookies\niki@www.zanox-affiliate[1].txt
        C:\Dokumente und Einstellungen\Niki\Cookies\niki@apmebf[1].txt
        C:\Dokumente und Einstellungen\Niki\Cookies\niki@ads.adbrite[1].txt
        C:\Dokumente und Einstellungen\Niki\Cookies\niki@atwola[1].txt
        C:\Dokumente und Einstellungen\Niki\Cookies\niki@richmedia.yahoo[1].txt
        C:\Dokumente und Einstellungen\Niki\Cookies\niki@adserver.trojaner-info[2].txt
        C:\Dokumente und Einstellungen\Niki\Cookies\niki@ehg.hitbox[1].txt
        C:\Dokumente und Einstellungen\Niki\Cookies\niki@adinterax[2].txt
        C:\Dokumente und Einstellungen\Niki\Cookies\niki@de2.komtrack[2].txt
        C:\Dokumente und Einstellungen\Niki\Cookies\niki@doubleclick[2].txt
        C:\Dokumente und Einstellungen\Niki\Cookies\niki@ad.71i[1].txt
        C:\Dokumente und Einstellungen\Niki\Cookies\niki@fastclick[2].txt
        C:\Dokumente und Einstellungen\Niki\Cookies\niki@ad.myp2p[1].txt
        C:\Dokumente und Einstellungen\Niki\Cookies\niki@ehg.hitbox[2].txt

Adware.Vundo Variant/Rel
        HKLM\SOFTWARE\Microsoft\FCOVM
        C:\WINDOWS\SYSTEM32\MCRH.TMP
Das Anti-Maleware-Log folgt sofort wenn es fertif gescannt hat.

NikiG. 01.09.2008 15:13
Und hier noch das Anti-Maleware Log:

Code:
Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1103
Windows 5.1.2600 Service Pack 2

16:10:29 01.09.2008
mbam-log-09-01-2008 (16-10-29).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 117478
Laufzeit: 26 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wintug32 (Dialer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\CAC (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\QIP\unqip.exe (Adware.Sogou) -> Quarantined and deleted successfully.
C:\WINDOWS\eplt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\Eigene Downloads\qip8050(2).exe (Adware.Sogou) -> Quarantined and deleted successfully.
D:\Eigene Downloads\qip8050.exe (Adware.Sogou) -> Quarantined and deleted successfully.
D:\Eigene Downloads\qip8060.exe (Adware.Sogou) -> Quarantined and deleted successfully.
D:\Programme\QIP\unqip.exe (Adware.Sogou) -> Quarantined and deleted successfully.
D:\Setupdateien\qip8030_de.exe (Adware.Sogou) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wintug32.dll (Dialer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
Siehts all zu schlimm aus? :confused:

undoreal 01.09.2008 17:17
Weiter mit Blacklight und Combofix...

NikiG. 01.09.2008 21:20
Zitat:
Zitat von undoreal (Beitrag 367857)
Weiter mit Blacklight und Combofix...
Hab ich erledigt. Soll ich auch dazu die Logs posten?

Gruß Niki

undoreal 01.09.2008 21:42
Ja aber immer! ;)

NikiG. 01.09.2008 21:47
okay. :)

Blacklight:
Code:
09/01/08 21:29:59 [Info]: BlackLight Engine 1.0.70 initialized
09/01/08 21:29:59 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/01/08 21:30:00 [Note]: 7019 4
09/01/08 21:30:00 [Note]: 7005 0
09/01/08 21:30:14 [Note]: 7006 0
09/01/08 21:30:14 [Note]: 7011 96
09/01/08 21:30:14 [Note]: 7035 0
09/01/08 21:30:14 [Note]: 7026 0
09/01/08 21:30:14 [Note]: 7026 0
09/01/08 21:30:14 [Note]: 7024 3
09/01/08 21:30:14 [Info]: Hidden process: C:\windows\system32\omieoaq.exe
09/01/08 21:30:34 [Note]: FSRAW library version 1.7.1024
09/01/08 21:48:01 [Info]: Hidden file: c:\WINDOWS\system32\omieoaq.dat
09/01/08 21:48:01 [Note]: 10002 1
09/01/08 21:48:01 [Info]: Hidden file: C:\windows\system32\omieoaq.exe
09/01/08 21:48:01 [Note]: 10002 1
09/01/08 21:48:01 [Info]: Hidden file: c:\WINDOWS\system32\omieoaq_nav.dat
09/01/08 21:48:01 [Note]: 10002 1
09/01/08 21:48:02 [Info]: Hidden file: c:\WINDOWS\system32\omieoaq_navps.dat
09/01/08 21:48:02 [Note]: 10002 1
09/01/08 21:53:57 [Note]: 7006 0
09/01/08 21:53:57 [Note]: 7011 96
09/01/08 21:53:57 [Note]: 7026 0
09/01/08 21:53:57 [Note]: 7026 0
09/01/08 21:53:57 [Note]: 7024 3
09/01/08 21:53:57 [Info]: Hidden process: C:\windows\system32\omieoaq.exe
09/01/08 21:53:57 [Note]: FSRAW library version 1.7.1024
09/01/08 21:53:59 [Note]: 10002 1
09/01/08 21:53:59 [Note]: 10002 1
09/01/08 21:54:00 [Note]: 10002 1
09/01/08 21:54:00 [Info]: Hidden file: c:\WINDOWS\system32\omieoaq_navps.dat
09/01/08 21:54:00 [Note]: 10002 1
09/01/08 21:54:10 [Note]: 7006 0
09/01/08 21:54:10 [Note]: 7011 96
09/01/08 21:54:10 [Note]: 7026 0
09/01/08 21:54:11 [Note]: 7026 0
09/01/08 21:54:11 [Note]: 7024 3
09/01/08 21:54:11 [Info]: Hidden process: C:\windows\system32\omieoaq.exe
09/01/08 21:54:11 [Note]: FSRAW library version 1.7.1024
09/01/08 21:54:12 [Note]: 10002 1
09/01/08 21:54:12 [Note]: 10002 1
09/01/08 21:54:12 [Info]: Hidden file: c:\WINDOWS\system32\omieoaq_nav.dat
09/01/08 21:54:12 [Note]: 10002 1
09/01/08 21:54:13 [Note]: 10002 1
09/01/08 21:54:22 [Note]: 7006 0
09/01/08 21:54:22 [Note]: 7011 96
09/01/08 21:54:22 [Note]: 7026 0
09/01/08 21:54:22 [Note]: 7026 0
09/01/08 21:54:22 [Note]: 7024 3
09/01/08 21:54:22 [Info]: Hidden process: C:\windows\system32\omieoaq.exe
09/01/08 21:54:22 [Note]: FSRAW library version 1.7.1024
09/01/08 21:54:23 [Info]: Hidden file: c:\WINDOWS\system32\omieoaq.dat
09/01/08 21:54:23 [Note]: 10002 1
09/01/08 21:54:23 [Note]: 10002 1
09/01/08 21:54:23 [Note]: 10002 1
09/01/08 21:54:24 [Note]: 10002 1
09/01/08 21:54:36 [Note]: 7006 0
09/01/08 21:54:36 [Note]: 7011 96
09/01/08 21:54:36 [Note]: 7026 0
09/01/08 21:54:37 [Note]: 7026 0
09/01/08 21:54:37 [Note]: 7024 3
09/01/08 21:54:37 [Info]: Hidden process: C:\windows\system32\omieoaq.exe
09/01/08 21:54:37 [Note]: FSRAW library version 1.7.1024
09/01/08 21:54:38 [Note]: 10002 1
09/01/08 21:54:38 [Info]: Hidden file: C:\windows\system32\omieoaq.exe
09/01/08 21:54:38 [Note]: 10002 1
09/01/08 21:54:38 [Note]: 10002 1
09/01/08 21:54:38 [Note]: 10002 1
09/01/08 21:55:34 [Note]: 7007 0
ComboFix:
Code:
ComboFix 08-08-31.01 - Niki 2008-09-01 22:08:17.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.348 [GMT 2:00]
ausgeführt von:: D:\Eigene Downloads\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((  Weitere L”schungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\PMTRRXSQ\bin.clearspring.com
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\PMTRRXSQ\bin.clearspring.com\clearspring.sol
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\PMTRRXSQ\interclick.com
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\PMTRRXSQ\interclick.com\ud.sol
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\PMTRRXSQ\www.broadcaster.com
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#bin.clearspring.com
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#bin.clearspring.com\settings.sol
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol
C:\Programme\uusee
C:\Programme\uusee\GoogleToolbarInstaller_zh-CN_signed.msi
C:\WINDOWS\system32\btvicsxk.ini
C:\WINDOWS\system32\bwmwqcwn.ini
C:\WINDOWS\system32\bwrhfxfn.ini
C:\WINDOWS\system32\dcotxoat.ini
C:\WINDOWS\system32\dppspnho.ini
C:\WINDOWS\system32\gwnracww.ini
C:\WINDOWS\system32\gyjomhsm.ini
C:\WINDOWS\system32\hpnapehn.ini
C:\WINDOWS\system32\jausvfnn.ini
C:\WINDOWS\system32\lumabuwf.ini
C:\WINDOWS\system32\lyuyjmtg.ini
C:\WINDOWS\system32\mbkvsgpv.ini
C:\WINDOWS\system32\mwhovfnv.ini
C:\WINDOWS\system32\nhyrtkni.ini
C:\WINDOWS\system32\ronaprpx.ini
C:\WINDOWS\system32\seaqrvxb.ini
C:\WINDOWS\system32\ttdeoino.ini
C:\WINDOWS\system32\uvmomkmh.ini
C:\WINDOWS\system32\uyvipkkw.ini
C:\WINDOWS\system32\vuoubyrc.ini
C:\WINDOWS\system32\wjinvvva.ini
C:\WINDOWS\system32\wureoivb.ini
C:\WINDOWS\system32\xewomhhg.ini
C:\WINDOWS\system32\ydrwujho.ini

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DOMAINSERVICE
-------\Service_TDSSserv


(((((((((((((((((((((((  Dateien erstellt von 2008-08-01 bis 2008-09-01  ))))))))))))))))))))))))))))))
.

2008-09-01 15:41 . 2008-09-01 15:41        <DIR>        d--------        C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Malwarebytes
2008-09-01 15:41 . 2008-09-01 15:41        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-01 15:41 . 2008-08-17 15:01        38,472        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-01 15:41 . 2008-08-17 15:01        17,144        --a------        C:\WINDOWS\system32\drivers\mbam.sys
2008-09-01 14:21 . 2008-09-01 14:21        <DIR>        d--------        C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\SUPERAntiSpyware.com
2008-09-01 14:21 . 2008-09-01 14:21        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-08-30 23:30 . 2008-08-30 23:35        3,070        --a------        C:\WINDOWS\system32\tmp.reg
2008-08-30 23:29 . 2008-08-30 23:36        <DIR>        d--------        C:\Dokumente und Einstellungen\Niki\SmitfraudFix
2008-08-30 23:29 . 2007-09-06 00:22        289,144        --a------        C:\WINDOWS\system32\VCCLSID.exe
2008-08-30 23:29 . 2006-04-27 17:49        288,417        --a------        C:\WINDOWS\system32\SrchSTS.exe
2008-08-30 23:29 . 2008-08-26 20:19        88,576        --a------        C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-08-30 23:29 . 2008-08-27 15:17        87,040        --a------        C:\WINDOWS\system32\VACFix.exe
2008-08-30 23:29 . 2008-05-18 21:40        82,944        --a------        C:\WINDOWS\system32\IEDFix.exe
2008-08-30 23:29 . 2008-08-28 22:36        82,432        --a------        C:\WINDOWS\system32\IEDFix.C.exe
2008-08-30 23:29 . 2008-08-18 12:19        82,432        --a------        C:\WINDOWS\system32\404Fix.exe
2008-08-30 23:29 . 2003-06-05 21:13        53,248        --a------        C:\WINDOWS\system32\Process.exe
2008-08-30 23:29 . 2004-07-31 18:50        51,200        --a------        C:\WINDOWS\system32\dumphive.exe
2008-08-30 23:29 . 2007-10-04 00:36        25,600        --a------        C:\WINDOWS\system32\WS2Fix.exe
2008-08-24 02:23 . 2008-08-24 02:23        <DIR>        d--------        C:\Dokumente und Einstellungen\Niki\LocalLow
2008-08-24 02:23 . 2008-08-24 02:23        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TVU Networks
2008-08-14 22:18 . 2008-08-14 22:18        286,720        --a------        C:\WINDOWS\system32\omieoaq.exe.ren
2008-08-14 22:18 . 2008-08-24 15:14        235,539        --a------        C:\WINDOWS\system32\omieoaq_nav.dat.ren
2008-08-14 22:18 . 2008-09-01 21:54        5,133        --a------        C:\WINDOWS\system32\omieoaq.dat.ren
2008-08-14 22:18 . 2007-11-24 16:58        1,857        --a------        C:\WINDOWS\system32\omieoaq_navps.dat.ren
2008-08-14 12:33 . 2008-05-01 16:30        331,776        -----c---        C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-14 11:30 . 2008-06-14 19:57        273,024        -----c---        C:\WINDOWS\system32\dllcache\bthport.sys
2008-08-08 21:56 . 2008-08-08 21:56        <DIR>        d--------        C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Bitdefender
16508-06-02 00:12 . 2008-05-12 10:49        593,920        ---------        C:\WINDOWS\system32\ati2sgag.exe
16508-06-02 00:11 . 16508-06-02 00:11        <DIR>        d--------        C:\ATI

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-01 19:56        ---------        d-----w        C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Azureus
2008-09-01 12:21        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-30 22:00        ---------        d-----w        C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\temp
2008-08-09 10:30        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-08 20:36        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-08 19:49        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Softwin
2008-08-08 19:49        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender
2008-07-31 20:19        ---------        d-----w        C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\dvdcss
2008-07-27 16:55        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-07-10 15:46        ---------        d-----w        C:\Programme\Java
2008-07-02 20:11        ---------        d-----w        C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\ICQ
2008-07-01 16:55        ---------        d-----w        C:\Programme\ICQ6Toolbar
2008-07-01 16:55        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2008-01-23 14:23        18,480        ----a-w        C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-05-03 10:06        163,328        --sh--r        C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47        31,232        --sh--r        C:\WINDOWS\system32\msfDX.dll
2007-12-17 13:43        27,648        --sh--w        C:\WINDOWS\system32\Smab0.dll
2008-02-04 19:26        151,040        --sh--w        C:\WINDOWS\system32\VistaUltm.dll
.

((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-03 16:18 94208]
"Rainlendar2"="D:\Programme\Rainlendar2\Rainlendar2.exe" [2007-07-24 09:12 1298432]
"AlcoholAutomount"="D:\Programme\Alcohol 120\axcmd.exe" [2008-04-07 17:30 4608]
"SUPERAntiSpyware"="D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-08-19 23:34 1576176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 03:11 925696]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"EPSON Stylus Photo RX420 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 05:00 98304]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440]
"BDMCon"="D:\Programme\Softwin\BitDefender10\bdmcon.exe" [2007-04-02 16:48 290816]
"BDAgent"="D:\Programme\Softwin\BitDefender10\bdagent.exe" [2007-03-26 15:49 69632]
"DAEMON Tools"="D:\Programme\DAEMON Tools\daemon.exe" [2006-09-14 22:09 157592]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 01:58 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "D:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 D:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=sockspy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.3iv2"= 3ivxVfWCodec.dll
"VIDC.HFYU"= huffyuv.dll
"VIDC.VP31"= vp31vfw.dll
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders        msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2006-09-14 22:09 157592 D:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-04-27 09:41 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
-ra------ 2005-11-23 04:12 1060864 C:\Programme\VIA\RAID\raid_tool.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-08-18 18:41 1832272 D:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 01:02 36352 D:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut]
--------- 2004-10-27 16:21 61952 C:\WINDOWS\system32\HdAShCut.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"LiveUpdate"=3 (0x3)
"LIVESRV"=2 (0x2)
"helpsvc"=2 (0x2)
"Automatisches LiveUpdate - Scheduler"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Azureus\\Azureus.exe"=
"D:\\Programme\\SopCast\\SopCast.exe"=
"D:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"D:\\Programme\\TVAnts\\Tvants.exe"=
"C:\\Programme\\QIP\\qip.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Media Player\\wmplayer.exe"=
"D:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"C:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"D:\\Programme\\Zattoo\\Zattoo2.exe"=
"D:\\Programme\\Zattoo\\Zattoo.exe"=
"D:\\Programme\\Zattoo\\zattood.exe"=
"D:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Java\\jre1.6.0_05\\bin\\java.exe"=
"C:\\Programme\\Java\\jre1.6.0_07\\bin\\java.exe"=
"C:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=
"C:\\WINDOWS\\system32\\java.exe"=
"C:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"=
"D:\\Programme\\Mozilla Firefox\\firefox.exe"=

R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2006-03-27 18:53]
S4 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [2006-09-08 15:47]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{27d7c760-6600-11dd-ab33-00184db76451}]
\Shell\AutoRun\command - G:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b7bca40a-04bd-11dd-aa1a-00184db76451}]
\Shell\AutoRun\command - I:\Autorun.exe
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-Run-omieoaq - c:\windows\system32\omieoaq.exe
MSConfigStartUp-BDAgent - C:\Programme\Softwin\BitDefender10\bdagent.exe
MSConfigStartUp-BDMCon - C:\Programme\Softwin\BitDefender10\bdmcon.exe
MSConfigStartUp-ICQ Lite - D:\Programme\ICQLite\ICQLite.exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Mozilla\Firefox\Profiles\pc4lo1ku.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.spiegel.de
FF -: plugin - C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Mozilla\Firefox\Profiles\pc4lo1ku.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - d:\programme\Acrobat Reader 5.0\Reader\browser\nppdf32.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\np-mswmp.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\np32dsw.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npdivx32.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npdrmv2.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npdsplay.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npnul32.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\nppl3260.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\nprjplug.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\nprpjplug.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\NPTURNMED.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npwmsdrm.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-01 22:13:28
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\RtlGina2.dll

Prozess: C:\WINDOWS\explorer.exe
-> D:\Programme\ObjectDock\DockShellHook.dll
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
D:\Programme\Ad-Aware\aawservice.exe
D:\Programme\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\ati2evxx.exe
D:\Programme\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
D:\Programme\ObjectDock\ObjectDock.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-01 22:17:15 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-09-01 20:17:04

Pre-Run: 2,544,816,128 Bytes frei
Post-Run: 2,466,885,632 Bytes frei

261        --- E O F ---        2008-08-21 09:28:22

undoreal 01.09.2008 21:58
Ach du Schande. Und das wolltest du uns vorenthalten? Sind alle Blacklight Funde ohne Probleme umbenannt worden?

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
    Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:07 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129