Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   brauche dringend hilfe (https://www.trojaner-board.de/72529-brauche-dringend-hilfe.html)

denny-wolf 28.04.2009 13:01
brauche dringend hilfe
 
hallo, habe ein problen und zwar habe ein neuen rechner, und nun muckt der nur noch rum mein antiv...zeigt mir trojaner....kann mir bitte jemand helfen?

Logfile of HijackThis v1.99.1
Scan saved at 14:00:11, on 28.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\DOKUME~1\KATJAW~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1240575024593
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\WINDOWS\System32\dplayx32.dll
O20 - Winlogon Notify: 24236cd3583 - C:\WINDOWS\System32\dplayx32.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Unknown owner - C:\Programme\Nero\Nero 7\InCD\NBHRegInCDSrv.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe



hoffe könnt was damit anfangen. danke schin im vorraus

Ghost1975 28.04.2009 13:26
Hallo denny-wolf

damit wir anfangen können Arbeite die Restlichen Punkte hier ab.
Vom Malwarebytes Scan die Log bitte Posten.

Dann lade noch folgendes bei Virustotal hoch

Zitat:
O20 - AppInit_DLLs: C:\WINDOWS\System32\dplayx32.dll
O20 - Winlogon Notify: 24236cd3583 - C:\WINDOWS\System32\dplayx32.dll
Poste das komplette Scanergebnis von beiden Dateien.

denny-wolf 28.04.2009 13:35
Datei mbam-log-2009-04-28__14-31-17_.tx empfangen 2009.04.28 14:32:55 (CET)Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.28 -
AhnLab-V3 5.0.0.2 2009.04.28 -
AntiVir 7.9.0.156 2009.04.28 -
Antiy-AVL 2.0.3.1 2009.04.28 -
Authentium 5.1.2.4 2009.04.27 -
Avast 4.8.1335.0 2009.04.27 -
AVG 8.5.0.287 2009.04.28 -
BitDefender 7.2 2009.04.28 -
CAT-QuickHeal 10.00 2009.04.28 -
ClamAV 0.94.1 2009.04.28 -
Comodo 1140 2009.04.28 -
DrWeb 4.44.0.09170 2009.04.28 -
eSafe 7.0.17.0 2009.04.27 -
eTrust-Vet 31.6.6478 2009.04.27 -
F-Prot 4.4.4.56 2009.04.27 -
F-Secure 8.0.14470.0 2009.04.28 -
Fortinet 3.117.0.0 2009.04.28 -
GData 19 2009.04.28 -
Ikarus T3.1.1.49.0 2009.04.28 -
K7AntiVirus 7.10.717 2009.04.27 -
Kaspersky 7.0.0.125 2009.04.28 -
McAfee 5598 2009.04.27 -
McAfee+Artemis 5598 2009.04.27 -
McAfee-GW-Edition 6.7.6 2009.04.28 -
Microsoft 1.4602 2009.04.28 -
NOD32 4039 2009.04.28 -
Norman 6.00.06 2009.04.27 -
nProtect 2009.1.8.0 2009.04.28 -
Panda 10.0.0.14 2009.04.28 -
PCTools 4.4.2.0 2009.04.28 -
Prevx1 3.0 2009.04.28 -
Rising 21.27.12.00 2009.04.28 -
Sophos 4.41.0 2009.04.28 -
Sunbelt 3.2.1858.2 2009.04.24 -
Symantec 1.4.4.12 2009.04.28 -
TheHacker 6.3.4.1.315 2009.04.28 -
TrendMicro 8.700.0.1004 2009.04.28 -
VBA32 3.12.10.3 2009.04.28 -
ViRobot 2009.4.28.1712 2009.04.28 -
VirusBuster 4.6.5.0 2009.04.27 -

weitere Informationen
File size: 959 bytes
MD5...: 8eb4ac0dd54f59a9f4ee6baa4f7ddcbb
SHA1..: 7a1b382e58eae37ead943bdaac5b85352d861e13
SHA256: 23893c4fb3653d7a9186b277b1b3ff6fa40de99e00a3d22b0da0ccd41b87fc3d
SHA512: 030144be8ac6c01d35d7df5c93939037c31dc71bc3254b8f078f7b4cbd0af0d3<BR>39ad18e5459337bf21f411e4cd1df42f26600bff5ca63a4770c30bfa9c5871a4
ssdeep: 12:nfaTYa4sW+ofXeJUpC/2Jp+n8Xh7FC1PXb/uzfXb/uo+AXb/utaXb/uQXb/u4<BR>XbA:yTYaJovej11PKzKEKtaKQK4KgdKB<BR>
PEiD..: -
TrID..: File type identification<BR>Unknown!
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set<BR>-



das anti malware hat mir alles raus gelöscht, bzw zeigt nix mehr an. hoffe war richtig so

Ghost1975 28.04.2009 13:40
@denny-wolf

glaube hast die falsche Datei hochgeladen
Benötige die Ergebnisse von den beiden genannten Dateien und nicht den Scan der Logdatei von Malwarebytes.


Also Link zu Virustotal anklicken,auf Durchsuchen klicken in den Ordner
C:\WINDOWS\System32\ gehen und dann die Datei \dplayx32.dll auswählen und Hochladen


MfG

Ghost

denny-wolf 28.04.2009 13:48
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2053
Windows 5.1.2600 Service Pack 3

28.04.2009 14:04:47
mbam-log-2009-04-28 (14-04-47).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 69117
Laufzeit: 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\dplayx32.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\24236cd3583 (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Agent) -> Data: c:\windows\system32\dplayx32.dll -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Katja Wolf\protect.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\protect.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\NetworkService\protect.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\autochk.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dplayx32.dll (Trojan.Agent) -> Delete on reboot.
C:\Dokumente und Einstellungen\Katja Wolf\Lokale Einstellungen\Temp\nsrbgxod.bak (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Katja Wolf\Lokale Einstellungen\Temp\msb.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.


der verweisst mich nur hier drauf, findet nix.

Ghost1975 28.04.2009 13:54
Naja das mit dem Scannen bei Virustotal hat sich erstmal erledigt:

Zitat:
C:\WINDOWS\system32\dplayx32.dll (Trojan.Agent) -> Delete on reboot.
Die Datei wurde schon gelöscht von Malwarebytes,hoffe du hast den Rechner schon neugestartet,mache dann bitte einen kompletten Scan.

MfG

Ghost1975

denny-wolf 28.04.2009 15:55
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2053
Windows 5.1.2600 Service Pack 3

28.04.2009 15:17:48
mbam-log-2009-04-28 (15-17-48).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 132973
Laufzeit: 18 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

denny-wolf 28.04.2009 16:12
ich sage schon mal danke für deine hilfe und denke hat sich ja somit erledigt.

seid hier echt klasse team. danke nochmal

Ghost1975 28.04.2009 16:28
Mach bitte noch einen Scan mit Avira mit der aggresiven Einstellung(um sicher zu gehen)

denny-wolf 29.04.2009 10:04
habe da 1 gefunden und beseitigt, gleich noch 3 mal durchlaufen lassen ohne probleme. danke für die hilfe


mfg denny

Ghost1975 29.04.2009 10:19
Poste bitte den Log damit wir wissen was und wo es gefunden wurde.


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:21 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129