Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Probleme beim Entfernen von Win32.Rigel u.a. in explorer.exe (https://www.trojaner-board.de/72955-probleme-beim-entfernen-win32-rigel-u-a-explorer-exe.html)

Grskjevic 09.05.2009 11:08
Probleme beim Entfernen von Win32.Rigel u.a. in explorer.exe
 
Hallo liebe Rechtschaffenden,

erstmal großes Lob an euer Engagement hier. Als ich das erste mal die Foren durchsucht habe war ich sehr positiv überrascht von eurer Hilfsbereitschaft/Ausdauer.

Zum Problem:

Habe meinen Virenscanner getauscht von 'Avira AntiVir' auf 'a-squared free'. Danach fielen mir einige seltsamen Dinge auf und ich habe die Platte gescannt. Gefunden wurde uA Win32.Rigel.
Den Anleitungen hier im Forum zufolge, habe ich dann versucht mit vundofix diesen zu entfernen. Mit reboot und so weiter. Sah auch zuerst ganz gut aus, aber es hat leider doch nicht geklappt. Ich nehme an, dass es noch irgendwo ein backup vom vundo gibt oder sowas.

Markante Symptome:

- Iexplore.exe läuft obwohl sie es nicht sollte. Es werden oftmals adware popups mit ihr geöffnet.
- Das System ist langsamer.
- erhöhte bluescreen-rate :(


Ich habe vorsorglich ein HiJackLog gemacht:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:59:42, on 09.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\TOOLS\a-squared Free\a2service.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
D:\TOOLS\VPN Client\cvpnd.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
C:\WINDOWS\System32\TPHDEXLG.exe
C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
C:\Programme\Lenovo\TrackPoint\tp4serv.exe
C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\TpShocks.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Lenovo\HOTKEY\TPONSCR.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe
C:\Programme\avmclient\AvmObex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe
C:\Programme\Lenovo\Zoom\TpScrex.exe
C:\Programme\Lenovo\System Update\SUService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\TOOLS\Miranda IM\miranda32.exe
D:\TOOLS\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\TOOLS\Hijack202\HijackThis.exe

O4 - HKLM\..\Run: [TrackPointSrv] C:\Programme\Lenovo\TrackPoint\tp4serv.exe
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [54feaa10] rundll32.exe "C:\WINDOWS\system32\kmdycoct.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [TomTomHOME.exe] "D:\TOOLS\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{1767FCA3-403B-4ADA-B14B-B787C3D24BC5}: NameServer = 62.109.123.6 213.191.92.87
O17 - HKLM\System\CS3\Services\Tcpip\..\{1767FCA3-403B-4ADA-B14B-B787C3D24BC5}: NameServer = 62.109.123.6 213.191.92.87
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\TOOLS\a-squared Free\a2service.exe
O23 - Service: Atheros Configuration Service (acs) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\TOOLS\VPN Client\cvpnd.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Power Manager DBC Service - Unknown owner - C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - C:\Programme\Lenovo\System Update\SUService.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: TomTomHOMEService - TomTom - D:\TOOLS\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.exe
O23 - Service: TVT Backup Protection Service - Unknown owner - C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
O23 - Service: TVT Windows Update Monitor (TVT_UpdateMonitor) - Lenovo Group Limited - C:\Programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe

--
End of file - 6623 bytes


Sorry, dass die Beschreibung so lang ist, aber so ist es sicher einfacher eine Lösung zu finden. Vielleicht hat jemand eine Idee.

Angel21 09.05.2009 11:16
Lade diese Datei

Zitat:
C:\WINDOWS\system32\kmdycoct.dll
gemäß dieser Anleitung http://www.trojaner-board.de/54791-a...ner-board.html bei uns hoch.

Anschließend bearbeitest du diese Liste unter Punkt 2 ab: http://www.trojaner-board.de/69886-a...-beachten.html

Grskjevic 09.05.2009 16:15
Hi

danke für die schnelle Antwort. Ich habe versucht mich ungefähr an die Anweisungen zu halten. Allerdings konnte ich mit dem CCleaner nicht alles entfernen, da sonst der nächste Boot im XP-Ladescreen einfriert. Ich habe dann Systemwiederherstellung gemacht und ein paar Sachen mit dem CCleaner nicht entfernt:

Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\system32\oemres.dll HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\system32\pxwma.dll HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls
Fehlende gemeinsamgenutzte DLLs C:\WINDOWS\system32\PA207USD.DLL HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

Dann konnte ich auch wieder booten.

Die Liste der installierten Software (wie in der Anleitung gefordert):

Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Alcohol 120%
ANNO 1503
ANNO 1602 Königs-Edition
Anzeige am Bildschirm
a-squared Free 4.0
AVM BlueFRITZ! USB
Azureus
CCleaner (remove only)
CDex extraction audio
Command & Conquer Generals
Command and ConquerTM Generals Zero Hour
DivX Codec
DivX Converter
DivX Player
DivX Web Player
ForceBindIP
Foxit Reader
Gothic II
Gothic II - Die Nacht des Raben
Hamachi 1.0.3.0
Help Center
High Definition Audio Driver Package - KB888111
Intel(R) Graphics Media Accelerator Driver
Intel(R) PRO Network Connections Drivers
Java(TM) 6 Update 13
Java(TM) 6 Update 7
Malwarebytes' Anti-Malware
MediaMonkey 3.0
Microsoft .NET Framework 2.0
Miranda IM 0.7.19
Mozilla Firefox (3.0.10)
Mozilla Thunderbird (2.0.0.21)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
ONLINE FUCHS
OpenOffice.org 3.0
PC Camer@
QuickTime Alternative 2.7.0
Rescue and Recovery
Skype™ 3.8
SoundMAX
Star Trek Armada II
TaskMate Pro 1.94
ThinkPad 11a/b/g/n Wireless LAN Mini-PCI Express Adapter
ThinkPad Energie-Manager
ThinkPad FullScreen Magnifier
ThinkPad Modem
ThinkPad Power Management Driver
ThinkPad TrackPoint Driver
ThinkPad-Konfiguration
ThinkVantage Fingerprint Software 5.8
ThinkVantage System für aktiven Festplattenschutz
ThinkVantage System Update
TomTom HOME 2.6.2.1586
TomTom HOME Visual Studio Merge Modules
UninstallBlitz
VideoLAN VLC media player 0.8.6i
VPN Client
Windows XP Service Pack 3
WinRAR


Ich weiß, das ist eine ganze Menge... aber es ist leider notwendig...

Danach hab ich dann Anti-MalWare nochmal laufen lassen. Ziemlich heftig was er so gefunden hat.
Ich hoffe es liegt nicht an dem AntiWpa... Das lief eigentlich bis jetzt ohne Probleme.
Hier das Anti-MalwareLog:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2099
Windows 5.1.2600 Service Pack 3

09.05.2009 17:11:47
mbam-log-2009-05-09 (17-11-43).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 123688
Laufzeit: 23 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 5
Infizierte Registrierungsschlüssel: 18
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 5
Infizierte Verzeichnisse: 0
Infizierte Dateien: 17

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\ddcYsSJb.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\lqlsdvkd.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\mmimbj.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> No action taken.
C:\WINDOWS\system32\ssqPgEtQ.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{28bcd38c-536a-4330-bbc5-cc834884a2d3} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{28bcd38c-536a-4330-bbc5-cc834884a2d3} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{40414074-3f0d-4cdd-ac8f-a90aa9b40f73} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{40414074-3f0d-4cdd-ac8f-a90aa9b40f73} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c8dfed6c-c4ea-435a-89ca-f70b8c767744} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c8dfed6c-c4ea-435a-89ca-f70b8c767744} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f6a9c779-4730-42f7-9142-432860d0b778} (Trojan.BHO.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f6a9c779-4730-42f7-9142-432860d0b778} (Trojan.BHO.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{163375e0-a1b2-4318-b213-eabd08a75ed5} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c8dfed6c-c4ea-435a-89ca-f70b8c767744} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{28bcd38c-536a-4330-bbc5-cc834884a2d3} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\antiwpa (Trojan.I.Stole.Windows) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{40414074-3f0d-4cdd-ac8f-a90aa9b40f73} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f6a9c779-4730-42f7-9142-432860d0b778} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\54feaa10 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{163375e0-a1b2-4318-b213-eabd08a75ed5} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{163375e0-a1b2-4318-b213-eabd08a75ed5} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f6a9c779-4730-42f7-9142-432860d0b778} (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\ddcyssjb -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\ddcyssjb -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ddcYsSJb.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\bJSsYcdd.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\bJSsYcdd.ini2 (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\ssqOGvsS.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\SsvGOqss.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\SsvGOqss.ini2 (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\mmimbj.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\kmdycoct.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\tcocydmk.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\lqlsdvkd.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\dkvdslql.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\ssqPgEtQ.dll (Trojan.BHO.H) -> No action taken.
C:\System Volume Information\_restore{3C75458F-6AE2-4527-8A44-1377C0A6BA0F}\RP208\A0042946.dll (Trojan.Vundo.H) -> No action taken.
C:\System Volume Information\_restore{3C75458F-6AE2-4527-8A44-1377C0A6BA0F}\RP208\A0042947.dll (Trojan.Vundo.H) -> No action taken.
C:\System Volume Information\_restore{3C75458F-6AE2-4527-8A44-1377C0A6BA0F}\RP208\A0042948.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\icnmscri.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> No action taken.

Angel21 09.05.2009 16:27
Zitat:
No action taken.
o.O
Bitte alle Funde löschen lassen.

Ich muss dich daraufhin weißen, dass dein Windows nicht legal ist.

EDIT: Danach bitte nochmal Superantispyware und das Log ebenso hier rein.

Grskjevic 10.05.2009 20:41
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 05/10/2009 at 08:20 PM

Application Version : 4.26.1002

Core Rules Database Version : 3885
Trace Rules Database Version: 1833

Scan type : Complete Scan
Total Scan Time : 00:29:58

Memory items scanned : 562
Memory threats detected : 0
Registry items scanned : 4297
Registry threats detected : 23
File items scanned : 43093
File threats detected : 3

Adware.Vundo Variant
HKLM\Software\Classes\CLSID\{F6A9C779-4730-42F7-9142-432860D0B778}
HKCR\CLSID\{F6A9C779-4730-42F7-9142-432860D0B778}
HKCR\CLSID\{F6A9C779-4730-42F7-9142-432860D0B778}\InprocServer32
HKCR\CLSID\{F6A9C779-4730-42F7-9142-432860D0B778}\InprocServer32#ThreadingModel
C:\WINDOWS\SYSTEM32\SSQPGETQ.DLL
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F6A9C779-4730-42F7-9142-432860D0B778}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks#{F6A9C779-4730-42F7-9142-432860D0B778}
HKU\S-1-5-21-854245398-220523388-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F6A9C779-4730-42F7-9142-432860D0B778}
HKCR\CLSID\{F6A9C779-4730-42F7-9142-432860D0B778}

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Grskjevic\Cookies\grskjevic@ad.trackbar[2].txt

Trojan.Unknown Origin
HKLM\SYSTEM\CurrentControlSet\Enum\Root\legacy_msupdate
HKLM\SYSTEM\CurrentControlSet\Enum\Root\legacy_msupdate#NextInstance
HKLM\SYSTEM\CurrentControlSet\Enum\Root\legacy_msupdate\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\legacy_msupdate\0000#Service
HKLM\SYSTEM\CurrentControlSet\Enum\Root\legacy_msupdate\0000#Legacy
HKLM\SYSTEM\CurrentControlSet\Enum\Root\legacy_msupdate\0000#ConfigFlags
HKLM\SYSTEM\CurrentControlSet\Enum\Root\legacy_msupdate\0000#Class
HKLM\SYSTEM\CurrentControlSet\Enum\Root\legacy_msupdate\0000#ClassGUID
HKLM\SYSTEM\CurrentControlSet\Enum\Root\legacy_msupdate\0000#DeviceDesc

Rogue.Component/Trace
HKLM\Software\Microsoft\54FEB89E
HKLM\Software\Microsoft\54FEB89E#54feb89e
HKLM\Software\Microsoft\54FEB89E#Version
HKLM\Software\Microsoft\54FEB89E#54fe151e
HKLM\Software\Microsoft\54FEB89E#54fe7cfb
HKU\S-1-5-21-854245398-220523388-725345543-1003\Software\Microsoft\FIAS4056

Adware.Vundo/Variant
C:\SYSTEM VOLUME INFORMATION\_RESTORE{3C75458F-6AE2-4527-8A44-1377C0A6BA0F}\RP208\A0042962.DLL

Grskjevic 10.05.2009 21:59
NACHTRAG:

Ich habe die alle entfernen lassen, und als wieder hochfahren wollte, war wieder der XP-lade Screen eingefroren.
Ich musste wieder eine Systemwiederherstellung machen, unmittelbar vor der Aktion mit SuperAntiSpywareFree.

Was mach ich falsch?

Grskjevic 11.05.2009 21:09
SO, ich glaube ich hab es jetzt hingekriegt.
Bin mir nicht 120%ig sicher, dass alles runter ist. Aber es macht zumindest den Anschein.
Danke vielmals für deine Hilfe!!

Angel21 11.05.2009 21:12
Poste bitte ein neues Hijackthis Log.

Wie geht es dem Rechner?
Haben sich einige von dir aufgezählte Punkte gebessert?

Zitat:
Ich musste wieder eine Systemwiederherstellung machen, unmittelbar vor der Aktion mit SuperAntiSpywareFree
Lass SASW in diesem Falle nochmal laufen, falls nich schon erledigt.

Grskjevic 12.05.2009 17:20
SuperAntiSpyware hab ich nochmal mit Komplettscan laufen lassen. Nichts gefunden.
Ich weiß nicht genau wie ichs gemacht habe (bin manchmal ein bisschen unstrukturiert :) ), aber es hat scheinbar funktioniert.

Der Rechner läuft wieder schneller und ich habe keine PopUps mehr bekommen. Das einzige was mir aufgefallen ist, dass eine irgendeine avmobex.exe sich mit nem XP-Fehlerreport verabschiedet hat. Aber das ist nicht weiter tragisch glaube ich (ist bloß irgendein Bluetooth tool).

Ich hoffe, das wars erstmal ...

Hier einmal das Log.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:16:49, on 12.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lenovo\TrackPoint\tp4serv.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\TpShocks.exe
C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe
C:\Programme\Lenovo\HOTKEY\TPONSCR.exe
C:\Programme\Lenovo\Zoom\TpScrex.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
D:\TOOLS\SASWFE\SUPERAntiSpyware.exe
D:\TOOLS\a-squared Free\a2service.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
D:\TOOLS\VPN Client\cvpnd.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
D:\TOOLS\TomTom HOME 2\TomTomHOMEService.exe
C:\WINDOWS\System32\TPHDEXLG.exe
C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
C:\Programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe
C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe
C:\Programme\Lenovo\System Update\SUService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\TOOLS\Mozilla Firefox\firefox.exe
D:\TOOLS\MediaMonkey\MediaMonkey (non-skinned).exe
D:\TOOLS\Hijack202\HijackThis.exe

O2 - BHO: (no name) - {28BCD38C-536A-4330-BBC5-CC834884A2D3} - C:\WINDOWS\system32\ddcYsSJb.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [TrackPointSrv] C:\Programme\Lenovo\TrackPoint\tp4serv.exe
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\TOOLS\SASWFE\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{1767FCA3-403B-4ADA-B14B-B787C3D24BC5}: NameServer = 62.109.123.6 213.191.92.87
O17 - HKLM\System\CS3\Services\Tcpip\..\{1767FCA3-403B-4ADA-B14B-B787C3D24BC5}: NameServer = 62.109.123.6 213.191.92.87
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - D:\TOOLS\SASWFE\SASWINLO.dll
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\TOOLS\a-squared Free\a2service.exe
O23 - Service: Atheros Configuration Service (acs) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\TOOLS\VPN Client\cvpnd.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Power Manager DBC Service - Unknown owner - C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - C:\Programme\Lenovo\System Update\SUService.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: TomTomHOMEService - TomTom - D:\TOOLS\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.exe
O23 - Service: TVT Backup Protection Service - Unknown owner - C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
O23 - Service: TVT Windows Update Monitor (TVT_UpdateMonitor) - Lenovo Group Limited - C:\Programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe

--
End of file - 6696 bytes

Angel21 12.05.2009 18:04
So mein Gutster.

Ich war lange am Überlegen, ob ich es mache oder nicht.
Aber meine Herzensgüte siegte.

C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> No action taken.

DER wird NICHT umsonst gefunden von MBAM.
Du hast eine nicht lizensierte Version von Windows auf deinem PC.
Wenn Malwarebytes diesen I Stole Trojaner löscht, dann killt er dein (nicht lizensiertes) Betriebssystem.

Um komplett sicher zu gehen, dass du definitiv NICHT infiziert bist und das definitiv KEINE Fehler auftreten würde ich eine Original Windows CD mit Lizensiertem Key verwenden. Das gibt mir alles mächtig zu denken, dir sollte es auch zu denken geben.

Wer weiß was auf deinem nicht lizensiertem BS drauf ist.


MfG
Angel

Grskjevic 12.05.2009 22:49
Hmmmmmm...... uncoooool..... :)

Ich weiß du hast recht. Aber woher soll ich bettelarmer Mensch ne lizensierte Kopie bekommen?

Der Wille ist da... bloß hab ich keine Ahnung wie.

Danke trotzdem. Ich nehms dir auch nicht übel, wenn du keinen Bock mehr hast mir zu helfen. Ich bin dir ohne zu großem Dank verpflichtet!

Mal sehen, vielleicht krieg ich irgendeine UNI-windowsscheibe an den Start.

ahoi
grsk

Angel21 12.05.2009 22:51
Den größten Teil bist du los.

Aber wundere dich nicht über den I Stole Windows Trojaner, wie geht es deinem PC?

Hatter sich gebessert?

Grskjevic 18.05.2009 18:31
jo, alles soweit beim alten...
ab und zu macht die winlogon.exe schwierigkeiten, aber das liegt mit sicherheit am umgang mit piraten.... ;)

danke nochmal. war mir eine große hilfe!!!!

Angel21 18.05.2009 18:34
Bitteschön :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:35 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130