Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Popup Trojaner gelöscht. Nun kein Systemloginscreen mehr (https://www.trojaner-board.de/72384-popup-trojaner-geloescht-kein-systemloginscreen-mehr.html)

repexx 24.04.2009 20:05
Popup Trojaner gelöscht. Nun kein Systemloginscreen mehr
 
Hallo zusammen,

ich hab schon seit langem auf meinem Netbook, ein Popup Trojaner gehabt. Heute wollte ich diesen mal entfernen. Ich kann leider nicht mehr sagen, wie der Trojaner hieß. Es waren jedenfalls 120 oder mehr .dll Dateien in Windows/System32.

Habe diese dann in die quarantäne verschieben wollen. Auf einmal verabschiedet sich mein Netbook mit einem Bluescreen. Als ich es wieder starten will. Kommt nach dem Windows durchlaufscreen. Kein Login mehr. Ich komme nicht mehr ins System rein. Im Abgesichertem Modus kann ich auch nicht starten.

Mein System ist übrigens auch mit Truecrypt verschlüsselt.

Ok.. ich sehe gerade, wo ich diesen Beitrag schreibe. Das der Loginscreen kam. Allerdings nach der Eingabe. Passiert wieder nichts. Das Ganze System ist total ausgebremmst.

Jemand eine Idee was ich hier noch machen kann?

repexx 24.04.2009 23:08
Nach langer Warterei bin ich im Windows drin, allerdings komm ich hier auch nicht weiter. Es ist ziemlich hinüber. Es gibt keine Taskleiste die Funktioniert, somit komme ich auch nicht an die Windows Wiederherstellung heran. Explorer.exe habe ich mal gekillt über den Taskmanger (der funktioniert noch...) bringt aber auch nichts, weil der explorer nicht mehr neustartet (wie das sonst üblich ist). Ich dachte mir eben noch befrei ich Windows erst mal von Truecrypt. Aber irgendwie geht es nicht mit der Rettungsdisk von TC. Wenn ich dort das PW eingebebe kommt immer incorret. Jedoch kann ich mich beim booten genau mit diesem PW einloggen. Ich hab noch Ubuntu 8.10 auf dem Netbook laufen, das bringt mich nur leider auch nicht weiter... Habe dort truecrypt installiert. Auf die Windows partition D habe ich zugriff. Aber nicht auf C: wobei C: noch nie ging über Ubuntu mit TC... Weiß nimmer weiter. Scheiß Popup Trojaner. a-squared freee habe ich übrigens zum verschieben der Files in die Quarantäne genutzt... Danach ging und geht aktuell nichts mehr. f8 und dort beim Auswahlmenü Starten mit letzten funktionierten Einstellungen geht auch nicht.

repexx 25.04.2009 10:14
Hui habs hinbekommen.
Habe BartPe auf ein USB Stick geschmissen. Und TC mit druff, konnte dann auf C: zugreifen. Hab erst mal den Virenscanner angescmissen, um zu schauen, was genau gelöscht wurde. Der hat die services.exe von System32 komplett gelöscht. Daurch konnte windows nicht mehr richtig starten. Hab diese nun von meinem Homepc über Partpe wieder aufgespielt und siehe da es funktioniert wieder. HappY :)

Ghost1975 25.04.2009 10:19
Hi repexx

bitte arbeite mal das hier ab.
Poste die Log-Dateien von 2b-2d.

Welche Viren usw wurden denn wo gefunden?

repexx 25.04.2009 11:12
Hi, gefunden wurde ein Trojan.Win32.Vundo!IK
laut Internetinfo ist der zuständig für Popups die im Ie kommen, wenn man surft. Meldungen kommen, dass man Viren druff hat und was laden soll. Da ich den IE nicht nutze ist mir der nicht weiter aufgefallen.. Hm ja runterhaben würd ich den gern, man weiß ja nicht was der noch so alles macht :o

Für die Auswertung dauerts noch was melde mich dann nochmal.

repexx 25.04.2009 12:14
Trojan.Vundo.H lautet die Bezeichnung laut Malwarebytes.

Code:
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2039
Windows 5.1.2600 Service Pack 3

25.04.2009 13:08:40
mbam-log-2009-04-25 (13-08-31).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 74372
Laufzeit: 40 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 5
Infizierte Registrierungsschlüssel: 20
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 117

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\lkllrdfe.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\urqRKBQK.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\jkkLEXPh.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\rbxici.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\dcngzx.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{66cf2df9-d720-45ce-abb2-dde2cba12052} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{66cf2df9-d720-45ce-abb2-dde2cba12052} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkklexph (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{91e66767-e64b-4e86-a4a5-faa561c1894f} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{91e66767-e64b-4e86-a4a5-faa561c1894f} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{12f7ea8e-90fc-4c66-bb28-0513f748bcd3} (Trojan.BHO.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{12f7ea8e-90fc-4c66-bb28-0513f748bcd3} (Trojan.BHO.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{12f7ea8e-90fc-4c66-bb28-0513f748bcd3} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{66cf2df9-d720-45ce-abb2-dde2cba12052} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{91e66767-e64b-4e86-a4a5-faa561c1894f} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\cs41275 (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\a4aa7398 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Security Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\urqrkbqk -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqrkbqk  -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\dcngzx.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\jkkLEXPh.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\urqRKBQK.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\KQBKRqru.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\KQBKRqru.ini2 (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\abpkaneu.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\uenakpba.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\hqpjwrvy.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\yvrwjpqh.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\lkllrdfe.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\efdrllkl.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\ubcbpsah.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\haspbcbu.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\rbxici.dll (Trojan.BHO.H) -> No action taken.
C:\WINDOWS\system32\agmpwo.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\agptwjim.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\aifmob.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\amdrmtyd.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\aptkpw.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\bbypro.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\bcnlmxdk.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\bdihildj.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\bhsuvwum.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\bjfkth.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\bploas.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\btoyss.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\bycijv.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\cgkevnnt.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\cpbicfsp.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\crkxfy.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\dafmolkc.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\dbbjsm.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\dffzdn.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\dnajjmbc.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\dtrwln.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\etloijty.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\fcydhhhp.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\fjyjws.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\fnrfod.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\fudxez.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\fxaotsyf.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\gdsyvyst.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\geBrsRIB.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\gfnvdmtd.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\gllomq.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hbvjdgun.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hempussd.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hgxdtq.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hpffxtoc.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hswmqa.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hvdnmeqm.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hxdwcn.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ifjtmo.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ihgvhmni.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ipzwzu.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\irgkerth.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\isukmdvl.exe (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ivaexh.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\jhqxursd.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\juqbti.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\jwvcojag.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\kbwwavkk.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\kfggzt.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\kfrskdmq.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\lrrfqevl.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\lurtfnus.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\lvngzm.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\lwjceccn.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mgxnufqy.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mhisabny.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mmlloaki.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mpsxfh.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mufqrhjt.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mxuexpno.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\naubftml.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ndrvls.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\nmozdl.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\nyjhdcja.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\nytafj.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ohzfqo.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ooftdoii.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\oxvfup.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\pbktpy.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\pksnet.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\poxvasjk.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\psnrgs.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\qdcxlbea.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\qshnopmj.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\qucdpd.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\retljnpd.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\rtuave.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\sdhvgkbj.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\sefnvqkt.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\sinwhjhp.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\sltnby.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\srzxsu.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\summbnhd.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\tfroki.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\tiggdc.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\toyvlk.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\tvvofcle.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ucofcwuc.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\uifsfkuh.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\uleowr.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\umjiijjr.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\unhvlsxd.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\upqngihu.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\vvfldi.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\wtuafnoa.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\xqejkx.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\xthcrv.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\xuxfmbwy.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\yfkvnq.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\yimmtucq.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\yjajht.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\yuptabgg.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\yvcmfnsv.dll (Trojan.Vundo) -> No action taken.
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:10:59, on 25.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Mediafour\MacDrive 7\MacDriveService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\oodag.exe
C:\Programme\RhinoSoft.com\Serv-U\Serv-U.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\NetLimiter\NetLimiter.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programme\Mediafour\MacDrive 7\MacDrive.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\OpenVPN\bin\openvpn-gui.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\REALTEK RTL8187 Wireless LAN Driver and Utility\RtWLan.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\powermenu_1_5_1\PowerMenu.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\mozilla.org\SeaMonkey\seamonkey.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
D:\Appz\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 85.17.222.48:22808
O1 - Hosts: 82.98.231.89 browser-security.microsoft.com
O1 - Hosts: 82.98.231.89 best-click-scanner.info
O1 - Hosts: 82.98.231.89 antivirus-xp-pro-2009.com
O1 - Hosts: 82.98.231.89 microsoft.infosecuritycenter.com
O1 - Hosts: 82.98.231.89 microsoft.softwaresecurityhelp.com
O1 - Hosts: 82.98.231.89 onlinenotifyq.net
O1 - Hosts: 82.98.231.89 antivirusxp-pro-2009.com
O1 - Hosts: 82.98.231.89 microsoft.browser-security-center.com
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NetLimiter] C:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [{B179023B-6238-4499-8F26-CD73E9D90E0A}] "C:\Programme\Mediafour\MacDrive 7\MacDrive.exe"
O4 - HKLM\..\Run: [MDGetStarted.exe] "C:\Programme\Mediafour\MacDrive 7\MDGetStarted.exe" /auto
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe
O4 - HKLM\..\Run: [openvpn-gui] C:\Programme\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [a4aa7398] rundll32.exe "C:\WINDOWS\system32\lkllrdfe.dll",b
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] "C:\Programme\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [TrueCrypt] "C:\Programme\TrueCrypt\TrueCrypt.exe" /q preferences
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: PowerMenu.exe.lnk = C:\Programme\powermenu_1_5_1\PowerMenu.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: REALTEK RTL8187 Wireless LAN Utility.lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E848E47-2890-4135-917D-B7AE2FF2ED36}: NameServer = 213.168.112.60,194.8.194.60
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E848E47-2890-4135-917D-B7AE2FF2ED36}: NameServer = 213.168.112.60,194.8.194.60
O17 - HKLM\System\CS2\Services\Tcpip\..\{0E848E47-2890-4135-917D-B7AE2FF2ED36}: NameServer = 213.168.112.60,194.8.194.60
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: rbxici.dll dcngzx.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Atheros Configuration Service (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MacDriveService - Mediafour Corporation - C:\Programme\Mediafour\MacDrive 7\MacDriveService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: Serv-U File Server (Serv-U) - Rhino Software, Inc. +1(262) 560-9627 - C:\Programme\RhinoSoft.com\Serv-U\Serv-U.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)

--
End of file - 10643 bytes

Ghost1975 25.04.2009 13:20
Hi


hast du die von Malwarebytes gemeldeten Sachen auch entfernen lassen??
(In der Anleitung von Malwarebytes steht drin wie das genau geht)

Gehe mal in die Systemsteuerung -> System -> dort auf die Systemwiederherstellung bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" Häckchen rein,und unten auf Übernehmen klicken.
(Nach dem nächsten Neustart kannste das wieder einschalten).

Bitte starte danach Hijackthis nochmal, "DO a Systemscan only"
, und bei Folgenden Sachen Hacken rein:


Zitat:
O1 - Hosts: 82.98.231.89 browser-security.microsoft.com
O1 - Hosts: 82.98.231.89 best-click-scanner.info
O1 - Hosts: 82.98.231.89 antivirus-xp-pro-2009.com
O1 - Hosts: 82.98.231.89 microsoft.infosecuritycenter.com
O1 - Hosts: 82.98.231.89 microsoft.softwaresecurityhelp.com
O1 - Hosts: 82.98.231.89 onlinenotifyq.net
O1 - Hosts: 82.98.231.89 antivirusxp-pro-2009.com
O1 - Hosts: 82.98.231.89 microsoft.browser-security-center.com

O20 - AppInit_DLLs: rbxici.dll dcngzx.dll
dann auf "FIX checked" klicken.


Danach bitte mal das Programm Vundofix laden,

als ersten Scannen lassen,wenn es fertig ist dann auf Fix Vundo klicken.
Wenn das erledigt ist fragt Vundofix ob der Rechner neu gestartet werden soll.
Bitte nach dem Neustart die Log Datei Posten(C:\vundofix.txt.)

repexx 25.04.2009 13:38
Der Log war ebeb noch bevor ich die Trojaner nicht gekillt hatte. Hatte ein wenig bammel, dass ich dann wieder nicht ins System reinkomme. Habs dann aber doch gewagt, weil ich über google auf einer Seite gefunden hatte, dass es eben so weggeht. Ging dann auch gut. Habe nochmal ein QuickScan laufen lassen und nichts mehr gefunden. Lasse gerade noch ein kompletten Scan laufen. Damit ich mir auch sicher bin das nichts mehr drauf ist. Wiederherstellung von Win habe ich mal ausgeschaltet eben und mit HijackThis auf die genannten Stellen den Fix ausgeführt. Log sieht jetzt so aus:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:34:05, on 25.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\NetLimiter\NetLimiter.exe
C:\WINDOWS\system32\oodtray.exe
C:\Programme\Mediafour\MacDrive 7\MacDrive.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\OpenVPN\bin\openvpn-gui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe
C:\Programme\REALTEK RTL8187 Wireless LAN Driver and Utility\RtWLan.exe
C:\Programme\powermenu_1_5_1\PowerMenu.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Mediafour\MacDrive 7\MacDriveService.exe
C:\Programme\RhinoSoft.com\Serv-U\Serv-U.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\mozilla.org\SeaMonkey\seamonkey.exe
D:\Appz\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 85.17.222.48:22808
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NetLimiter] C:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [{B179023B-6238-4499-8F26-CD73E9D90E0A}] "C:\Programme\Mediafour\MacDrive 7\MacDrive.exe"
O4 - HKLM\..\Run: [MDGetStarted.exe] "C:\Programme\Mediafour\MacDrive 7\MDGetStarted.exe" /auto
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe
O4 - HKLM\..\Run: [openvpn-gui] C:\Programme\OpenVPN\bin\openvpn-gui.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] "C:\Programme\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [TrueCrypt] "C:\Programme\TrueCrypt\TrueCrypt.exe" /q preferences
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: PowerMenu.exe.lnk = C:\Programme\powermenu_1_5_1\PowerMenu.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: REALTEK RTL8187 Wireless LAN Utility.lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E848E47-2890-4135-917D-B7AE2FF2ED36}: NameServer = 213.168.112.60,194.8.194.60
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E848E47-2890-4135-917D-B7AE2FF2ED36}: NameServer = 213.168.112.60,194.8.194.60
O17 - HKLM\System\CS2\Services\Tcpip\..\{0E848E47-2890-4135-917D-B7AE2FF2ED36}: NameServer = 213.168.112.60,194.8.194.60
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Atheros Configuration Service (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MacDriveService - Mediafour Corporation - C:\Programme\Mediafour\MacDrive 7\MacDriveService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: Serv-U File Server (Serv-U) - Rhino Software, Inc. +1(262) 560-9627 - C:\Programme\RhinoSoft.com\Serv-U\Serv-U.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)

--
End of file - 10635 bytes
Mein Netbook sieht nun sauber aus oder?

Danke für deine Hilfe!

Ghost1975 25.04.2009 17:26
Laße bitte das Programm Vundofix (das ich eben genannt hatte)noch Durchlaufen.
Danach ein Scan mit Super AntiSpyware kann auch nicht schaden.


MfG

Ghost1975

repexx 25.04.2009 19:41
Das Tool hat nichts mehr gefunden. Sollte also jetzt frei von jeglichem Gesindel sein..

Ghost1975 25.04.2009 20:23
@repexx

Zitat:
Sollte also jetzt frei von jeglichem Gesindel sein..
kann muß aber nicht sein kann sich noch das ein oder andere (z.B. Rootkits)auf deinem Rechner befinden.
Du schreibst ja selbst das du das Zeugs länger drauf hattest.

Drum noch der Log von Gmer
starte die Software,achte drauf das Rootkit ausgewählt wurde,drücke auf Scan
Poste die Logdatei.

evtl folgen noch paar andere Tools.:teufel3:


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:13 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132