Shit Virus

Diskutiere Shit Virus im Viren, Würmer, Spyware Forum im Bereich Computerprobleme; Hi, nachdem ich eure Tipss befolgt hatte, war mein Virus Problem gelöst. Dachte ich zumindest. Jetzt kommt es schon wieder und Avast bringt...

  1. #1 SirGeorg, 09.06.2007
    SirGeorg

    SirGeorg Benutzer

    Dabei seit:
    27.05.2007
    Beiträge:
    44
    Zustimmungen:
    0
    Hi,
    nachdem ich eure Tipss befolgt hatte, war mein Virus Problem gelöst. Dachte ich zumindest.
    Jetzt kommt es schon wieder und Avast bringt ständig ein Angriff von Trojanern.
    Hier mal ein Hijack nach der Reinigung mit Ad-Ware und Virenprogramm!
    Hoffe wir bekommen das jetzt in Griff, weil es nervt mir den letzten Nerv.
    ;(
    Logfile of HijackThis v1.99.1
    Scan saved at 17:20:59, on 09.06.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    C:\Programme\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\UAService7.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\system32\rundll32.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\DOKUME~1\N0L00K~1\LOKALE~1\Temp\tmp3.tmp.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
    C:\Programme\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\Hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://localhost:3476/cgi-bin/ncgir.exe?menu/fwl_index.html
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {bf143c9c-2927-403f-9044-b68f0e10b36b} - C:\WINDOWS\system32\kbdmfd.dll
    O2 - BHO: (no name) - {DEBEB52F-CFA6-4647-971F-3EDB75B63AFA} - C:\WINDOWS\system32\tmp12.tmp.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [HDInspector.exe] C:\Programme\Festplatten-Inspektor\HDInspector.exe
    O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
    O4 - HKLM\..\Run: [Desksite CMA] C:\Programme\desksite\bin\cma.exe
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
    O4 - HKLM\..\Run: [CleanUp XP] C:\Programme\CleanUp XP\CleanUp.exe -h
    O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\cbxyyw.dll",realset
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [SysRestore] "C:\DOKUME~1\N0L00K~1\LOKALE~1\Temp\tmp3.tmp.exe"
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O20 - Winlogon Notify: kbdmfd - C:\WINDOWS\SYSTEM32\kbdmfd.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
     
  2. Anzeige

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 Marc-Andre, 09.06.2007
    Marc-Andre

    Marc-Andre Erfahrener Benutzer

    Dabei seit:
    10.11.2006
    Beiträge:
    759
    Zustimmungen:
    0
    Ort:
    Saarland
  4. mfsto

    mfsto Erfahrener Benutzer

    Dabei seit:
    15.04.2007
    Beiträge:
    372
    Zustimmungen:
    0
    Hier das sind die schädlichen Dateien:
    C:\WINDOWS\system32\kbdmfd.dll

    Die haben wir ja letztes Mal schon beim Onlinescanner ausgewertet
    >>
    C:\WINDOWS\system32\tmp12.tmp.dll ist höchstwahrscheinlich auch irgendein Trojan Downloader...


    Fixe folgende Einträge nochma:
    Code:
    O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    
    Was hinter dieser Datei
    Code:
    cbxyyw.dll
    
    steckt ist wahrscheinlich auch nichts gutes...
    Lade die Datei bitte nochmal bei einem Onlinescanner(Jotti z.B) hoch und poste das Ergebnis.
    Die Virenscanner haben die Dateien wohl beim letzten Mal nicht entfernen können...
    Nunja , lade die" tmp12.tmp.dll" und "cbxyyw.dll" beim Onlinescanner hoch und poste das Ergebnis.

    Mfg
     
  5. #4 SirGeorg, 10.06.2007
    SirGeorg

    SirGeorg Benutzer

    Dabei seit:
    27.05.2007
    Beiträge:
    44
    Zustimmungen:
    0
    Hallo,
    @mfsto die zwei dateien mit der Endung kdbmfd.dll lassen sich nicht fixen.
    Es kommt ein Meldung, dass IE aus sein muss und er fixt es einfach nciht.
    Die zwei Partypkerdateien hab ich gefixed
     
  6. mfsto

    mfsto Erfahrener Benutzer

    Dabei seit:
    15.04.2007
    Beiträge:
    372
    Zustimmungen:
    0
    Du sollst die Dateien auch nicht fixen.
    Mach bitte erstma folgendes:
    Lade diese Dateien bei http://www.virustotal.com/en/indexf.html hoch:
    1.)tmp12.tmp.dll
    2.)cbxyyw.dll
    3.)kbdmfd.dll

    Falls du sie nicht findest:

    -Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
    -Geschützte Systemdateien ausblenden -> Haken weg
    -Inhalte von Systemordnern anzeigen -> Haken setzen
    -Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

    Poste danach das Ergebnis.
    Danach sehen wir weiter:)

    Mfg
     
  7. #6 SirGeorg, 11.06.2007
    SirGeorg

    SirGeorg Benutzer

    Dabei seit:
    27.05.2007
    Beiträge:
    44
    Zustimmungen:
    0
    Ok!
    tmp12.tmp.dll:
    AhnLab-V3 2007.6.11.1 06.11.2007 Win-Trojan/Infostealer.39124
    AntiVir 7.4.0.32 06.11.2007 TR/Dldr.ConHook.Gen
    Authentium 4.93.8 05.23.2007 no virus found
    Avast 4.7.997.0 06.09.2007 no virus found
    AVG 7.5.0.467 06.10.2007 Clicker.GCU
    BitDefender 7.2 06.11.2007 no virus found
    CAT-QuickHeal 9.00 06.09.2007 TrojanSpy.Bancos.ha
    ClamAV devel-20070416 06.11.2007 no virus found
    DrWeb 4.33 06.11.2007 no virus found
    eSafe 7.0.15.0 06.10.2007 no virus found
    eTrust-Vet 30.7.3710 06.11.2007 no virus found
    Ewido 4.0 06.11.2007 no virus found
    FileAdvisor 1 06.11.2007 no virus found
    Fortinet 2.85.0.0 06.11.2007 suspicious
    F-Prot 4.3.2.48 06.08.2007 no virus found
    F-Secure 6.70.13030.0 06.11.2007 no virus found
    Ikarus T3.1.1.8 06.11.2007 Trojan-Spy.Win32.Bancos.ha
    Kaspersky 4.0.2.24 06.11.2007 no virus found
    McAfee 5049 06.08.2007 no virus found
    Microsoft 1.2503 06.11.2007 VirTool:Win32/Obfuscator.C
    NOD32v2 2321 06.10.2007 a variant of Win32/BHO.G
    Norman 5.80.02 06.08.2007 W32/Suspicious_U.gen
    Panda 9.0.0.4 06.11.2007 Suspicious file
    Prevx1 V2 06.11.2007 Dropper.Payload
    Sophos 4.18.0 06.01.2007 no virus found
    Sunbelt 2.2.907.0 06.09.2007 VIPRE.Suspicious
    Symantec 10 06.11.2007 no virus found
    TheHacker 6.1.6.131 06.08.2007 Trojan/Bancos.ha
    VBA32 3.12.0 06.10.2007 no virus found
    VirusBuster 4.3.23:9 06.10.2007
    Webwasher-Gateway 6.0.1 06.11.2007 Trojan.Dldr.ConHook.Gen


    Aditional Information
    File size: 39124 bytes
    MD5: 52e5844bc06da662a0dfbd97882cf7d8
    SHA1: 987a71be16f855c6375735d72246c7511c08164d
    packers: UPACK
    packers: UPack
    Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=aa5299741357
    Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

    VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and
     
  8. #7 SirGeorg, 11.06.2007
    SirGeorg

    SirGeorg Benutzer

    Dabei seit:
    27.05.2007
    Beiträge:
    44
    Zustimmungen:
    0
    kbdmfd.dll:


    AhnLab-V3 2007.6.11.1 06.11.2007 no virus found
    AntiVir 7.4.0.32 06.11.2007 TR/Agent.dig
    Authentium 4.93.8 05.23.2007 no virus found
    Avast 4.7.997.0 06.09.2007 no virus found
    AVG 7.5.0.467 06.10.2007 Adware Generic2.UO
    BitDefender 7.2 06.11.2007 Trojan.Downloader.ConHook.AK
    CAT-QuickHeal 9.00 06.09.2007 Trojan.Agent.gen
    ClamAV devel-20070416 06.11.2007 no virus found
    DrWeb 4.33 06.11.2007 Trojan.DownLoader.21784
    eSafe 7.0.15.0 06.10.2007 Win32.Trojan
    eTrust-Vet 30.7.3710 06.11.2007 Win32/Darksma.AU
    Ewido 4.0 06.11.2007 Downloader.Small
    FileAdvisor 1 06.11.2007 No threat detected
    Fortinet 2.85.0.0 06.11.2007 Adware/BHO
    F-Prot 4.3.2.48 06.08.2007 no virus found
    F-Secure 6.70.13030.0 06.11.2007 Trojan-Downloader.Win32.ConHook.bd
    Ikarus T3.1.1.8 06.11.2007 Trojan-Spy.Win32.Bancos.ha
    Kaspersky 4.0.2.24 06.11.2007 Trojan-Downloader.Win32.ConHook.bd
    McAfee 5049 06.08.2007 potentially unwanted program Adware-BHO
    Microsoft 1.2503 06.11.2007 VirTool:Win32/Obfuscator.C
    NOD32v2 2321 06.10.2007 no virus found
    Norman 5.80.02 06.08.2007 W32/Suspicious_U.gen
    Panda 9.0.0.4 06.11.2007 Spyware/DuncanMonitor
    Prevx1 V2 06.11.2007 Dropper.Payload
    Sophos 4.18.0 06.01.2007 Mal/Packer
    Sunbelt 2.2.907.0 06.09.2007 Trojan-Downloader.Win32.ConHook.gen
    Symantec 10 06.11.2007 Trojan Horse
    TheHacker 6.1.6.131 06.08.2007 no virus found
    VBA32 3.12.0 06.10.2007 Trojan.Win32.Agent.agv
    VirusBuster 4.3.23:9 06.10.2007
    Webwasher-Gateway 6.0.1 06.11.2007 Trojan.Agent.dig


    Aditional Information
    File size: 22110 bytes
    MD5: 63bb46ba38d8d69066e485522921b3b5
    SHA1: d9b003104b8713132085a3b2a57ce2a1f583ca8b
    Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=63bb46ba38d8d69066e485522921b3b5
    packers: UPack
    Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=f60591827615
    Sunbelt info: Trojan-Downloader.Win32.ConHook.gen is a program that contacts remote websites, then downloads and executes additional malware in the infected machine.

    VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability
     
  9. #8 SirGeorg, 11.06.2007
    SirGeorg

    SirGeorg Benutzer

    Dabei seit:
    27.05.2007
    Beiträge:
    44
    Zustimmungen:
    0
    die anderes datei namens:
    cbxyyw.dll
    konnte ich auf biegen und brachen nicht finden
     
  10. mfsto

    mfsto Erfahrener Benutzer

    Dabei seit:
    15.04.2007
    Beiträge:
    372
    Zustimmungen:
    0
    Hmm Trojan Downloader..

    Mach ma folgendes:

    Mfg
     
  11. #10 SirGeorg, 12.06.2007
    SirGeorg

    SirGeorg Benutzer

    Dabei seit:
    27.05.2007
    Beiträge:
    44
    Zustimmungen:
    0
    So alles erledigt!
    Hier das Hijackfile!

    Logfile of HijackThis v1.99.1
    Scan saved at 12:32:37, on 12.06.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    C:\Programme\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\a-squared Free\a2service.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\UAService7.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\system32\rundll32.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Programme\ICQLite\ICQLite.exe
    C:\DOKUME~1\N0L00K~1\LOKALE~1\Temp\tmp3.tmp.exe
    C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
    C:\Programme\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Programme\Hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://localhost:3476/cgi-bin/ncgir.exe?menu/fwl_index.html
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {bf143c9c-2927-403f-9044-b68f0e10b36b} - C:\WINDOWS\system32\kbdmfd.dll (file missing)
    O2 - BHO: (no name) - {DEBEB52F-CFA6-4647-971F-3EDB75B63AFA} - C:\WINDOWS\system32\tmp3.tmp.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [HDInspector.exe] C:\Programme\Festplatten-Inspektor\HDInspector.exe
    O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
    O4 - HKLM\..\Run: [Desksite CMA] C:\Programme\desksite\bin\cma.exe
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
    O4 - HKLM\..\Run: [CleanUp XP] C:\Programme\CleanUp XP\CleanUp.exe -h
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\xxyyxy.dll",realset
    O4 - HKCU\..\Run: [SysRestore] "C:\DOKUME~1\N0L00K~1\LOKALE~1\Temp\tmp3.tmp.exe"
    O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O20 - Winlogon Notify: kbdmfd - kbdmfd.dll (file missing)
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
    O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
     
  12. mfsto

    mfsto Erfahrener Benutzer

    Dabei seit:
    15.04.2007
    Beiträge:
    372
    Zustimmungen:
    0
    Fixe folgende Einträge mit Hijackthis:
    Code:
    O2 - BHO: (no name) - {bf143c9c-2927-403f-9044-b68f0e10b36b} - C:\WINDOWS\system32\kbdmfd.dll (file missing)
    O20 - Winlogon Notify: kbdmfd - kbdmfd.dll (file missing)
    
    
    Hmm also die Datei konnten wir zumindestens entfernen:)


    Jedoch sind immer noch ein paar mir unbekannte Prozesse drauf:
    xxyyxy.dll <<<Lass die Datei nochmal bei VirusTotal überprüfen
    tmp3.tmp.dll

    Zu der tmp3.tmp.dll:
    Dahinter versteckt sich wohl wieder ein Trojan Downloader..Anscheind haben wir es hier mit einem hartnäckigen Downloader zu tun..
    Lass sie auch nochma bei VirusTotal überprüfen..
    Falls es wieder ein Schädling ist versuch ihn mit der Killbox zu löschen..Anleitung habe ich ja schon gepostet , nur den Pfad eben reinkopieren-->C:\WINDOWS\system32\tmp3.tmp.dll
    Das mit der Killbox aufjedenfall im Abgesicherten Modus(Mehrmals F8 drücken beim Booten) durchführen.


    Folgende Datei lässt du auch ma überprüfen:
    C:\DOKUME~1\N0L00K~1\LOKALE~1\Temp\tmp3.tmp.exe
    Falls es ein Schädling ist , mach folgendes:
    -->Installiere CleanUp http://www.comsafe.de/download.html -->Aufrufen-->Haken bei alles löschen setzen und dann Löschen drücken


    Mfg
     
  13. #12 SirGeorg, 12.06.2007
    SirGeorg

    SirGeorg Benutzer

    Dabei seit:
    27.05.2007
    Beiträge:
    44
    Zustimmungen:
    0
    Die Datei tmp3.tmp.dll war ein Downloader laut Virusscann!
    Die andere Datei kann ich auch nicht finden komisch.

    Naja die C:\DOKUME~1\N0L00K~1\LOKALE~1\Temp\tmp3.tmp.exe
    Datei is wohl ein exklusiver neuer Trojaner:
    AhnLab-V3 2007.5.9.0 05.09.2007 no virus found
    AntiVir 7.4.0.32 06.12.2007 TR/Dldr.Small.AAAB
    Authentium 4.93.8 06.12.2007 Possibly a new variant of W32/Downloader-Sml-based!Maximus
    Avast 4.7.997.0 06.12.2007 no virus found
    AVG 7.5.0.467 05.08.2007 no virus found
    BitDefender 7.2 06.12.2007 Trojan.Downloader.Small.AAAB
    CAT-QuickHeal 9.00 06.12.2007 no virus found
    ClamAV devel-20070416 05.09.2007 no virus found
    DrWeb 4.33 06.12.2007 Trojan.Click.2454
    eSafe 7.0.15.0 05.08.2007 no virus found
    eTrust-Vet 30.7.3713 06.12.2007 no virus found
    FileAdvisor 1 06.12.2007 No threat detected
    Fortinet 2.85.0.0 06.12.2007 no virus found
    F-Prot 4.3.2.48 05.08.2007 W32/Downloader-Sml-based!Maximus
    F-Secure 6.70.13030.0 05.09.2007 no virus found
    Ikarus T3.1.1.7 05.09.2007 no virus found
    Kaspersky 4.0.2.24 06.12.2007 no virus found
    McAfee 5050 06.11.2007 no virus found
    Microsoft 1.2503 06.12.2007 TrojanDownloader:Win32/Conhook.E (threat-c)
    NOD32v2 2325 06.12.2007 probably unknown NewHeur_PE virus
    Norman 5.80.02 06.12.2007 W32/DLoader.CWBY
    Panda 9.0.0.4 06.12.2007 Trj/Downloader.OPK
    Prevx1 V2 06.12.2007 SpywareQuake
    Sophos 4.18.0 06.12.2007 no virus found
    Sunbelt 2.2.907.0 05.05.2007 no virus found
    Symantec 10 05.09.2007 no virus found
    TheHacker 6.1.6.132 06.11.2007 no virus found
    VBA32 3.12.0.1 06.11.2007 Trojan.Click.2454
    VirusBuster 4.3.23:9 06.12.2007 no virus found
    Webwasher-Gateway 6.0.1 05.09.2007 Heuristic.Malware

    Werd ihn mal so wie du beschrieben hast kicken!
     
  14. #13 SirGeorg, 12.06.2007
    SirGeorg

    SirGeorg Benutzer

    Dabei seit:
    27.05.2007
    Beiträge:
    44
    Zustimmungen:
    0
    Ok das Programm hab ich durchlaufen lassen, hat mich um 1GB Dateien gefressen.


    Hier mal ein neues Hijack-File:
    Logfile of HijackThis v1.99.1
    Scan saved at 17:06:54, on 12.06.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    C:\Programme\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\a-squared Free\a2service.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\UAService7.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
    C:\Programme\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\system32\rundll32.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Programme\ICQLite\ICQLite.exe
    C:\DOKUME~1\N0L00K~1\LOKALE~1\Temp\tmp3.tmp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\PROGRA~1\CleanUp!\cleanup.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\Hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://localhost:3476/cgi-bin/ncgir.exe?menu/fwl_index.html
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {bf143c9c-2927-403f-9044-b68f0e10b36b} - C:\WINDOWS\system32\kbdmfd.dll (file missing)
    O2 - BHO: (no name) - {DEBEB52F-CFA6-4647-971F-3EDB75B63AFA} - C:\WINDOWS\system32\tmp3.tmp.dll (file missing)
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [HDInspector.exe] C:\Programme\Festplatten-Inspektor\HDInspector.exe
    O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
    O4 - HKLM\..\Run: [Desksite CMA] C:\Programme\desksite\bin\cma.exe
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
    O4 - HKLM\..\Run: [CleanUp XP] C:\Programme\CleanUp XP\CleanUp.exe -h
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\xxyyxy.dll",realset
    O4 - HKCU\..\Run: [SysRestore] "C:\DOKUME~1\N0L00K~1\LOKALE~1\Temp\tmp3.tmp.exe"
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O20 - Winlogon Notify: kbdmfd - kbdmfd.dll (file missing)
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
    O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe


    Haben wirs geschafft?
     
  15. mfsto

    mfsto Erfahrener Benutzer

    Dabei seit:
    15.04.2007
    Beiträge:
    372
    Zustimmungen:
    0
    Noch nicht ganz:p

    Fixe mit Hijackthis folgende Einträge:
    Code:
    O2 - BHO: (no name) - {bf143c9c-2927-403f-9044-b68f0e10b36b} - C:\WINDOWS\system32\kbdmfd.dll (file missing)
    O2 - BHO: (no name) - {DEBEB52F-CFA6-4647-971F-3EDB75B63AFA} - C:\WINDOWS\system32\tmp3.tmp.dll (file missing)
    O20 - Winlogon Notify: kbdmfd - kbdmfd.dll (file missing)
    
    Ok wieder ein Schädling weniger:)

    Lass bitte noch folgende Datei bei >>VirusTotal<< überprüfen:

    Code:
    C:\WINDOWS\xxyyxy.dll
    
    Poste das Ergebnis.

    Die C:\DOKUME~1\N0L00K~1\LOKALE~1\Temp\tmp3.tmp.exe ist immer noch nicht weg...
    Um die weg zu kriegen mach folgendes:
    Mfg
     
  16. #15 SirGeorg, 12.06.2007
    SirGeorg

    SirGeorg Benutzer

    Dabei seit:
    27.05.2007
    Beiträge:
    44
    Zustimmungen:
    0
    Ok die xxyyxy.dll ist ein Virus siehe Virenscanner:
    AhnLab-V3 2007.6.12.2 06.12.2007 no virus found
    AntiVir 7.4.0.32 06.12.2007 ADSPY/Virtumonde.AR.8
    Authentium 4.93.8 06.12.2007 no virus found
    Avast 4.7.997.0 06.12.2007 no virus found
    AVG 7.5.0.467 06.12.2007 no virus found
    BitDefender 7.2 06.12.2007 no virus found
    CAT-QuickHeal 9.00 06.12.2007 no virus found
    ClamAV devel-20070416 06.12.2007 no virus found
    DrWeb 4.33 06.12.2007 no virus found
    eSafe 7.0.15.0 06.12.2007 no virus found
    eTrust-Vet 30.7.3713 06.12.2007 no virus found
    Ewido 4.0 06.12.2007 Adware.Virtumonde
    FileAdvisor 1 06.12.2007 no virus found
    Fortinet 2.85.0.0 06.12.2007 Adware/VirtuMonde
    F-Prot 4.3.2.48 06.12.2007 no virus found
    F-Secure 6.70.13030.0 06.12.2007 no virus found
    Ikarus T3.1.1.8 06.12.2007 Trojan.Win32.Agent.agv
    Kaspersky 4.0.2.24 06.12.2007 not-a-virus:AdWare.Win32.Virtumonde.ar
    McAfee 5051 06.12.2007 potentially unwanted program Vundo
    Microsoft 1.2503 06.12.2007 no virus found
    NOD32v2 2325 06.12.2007 no virus found
    Norman 5.80.02 06.12.2007 no virus found
    Panda 9.0.0.4 06.12.2007 Suspicious file
    Prevx1 V2 06.12.2007 Polynomial.Code.Exploit
    Sophos 4.18.0 06.12.2007 Virtumundo
    Sunbelt 2.2.907.0 06.09.2007 VIPRE.Suspicious
    Symantec 10 06.12.2007 no virus found
    TheHacker 6.1.6.132 06.11.2007 Adware/Virtumonde.ar











    Soll ich die Datei auch in der Killbox killen?

    Die Datei C:\DOKUME~1\N0L00K~1\LOKALE~1\Temp\tmp3.tmp.exe habe ich gelöscht wie dus gesagt hast. Die 3 Dateien im HijackThis habe ich auch gefixed!

    Ich starte mal schnell den Rechner neu und poste ein neues Hijack!
     
  17. Anzeige

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  18. #16 SirGeorg, 12.06.2007
    SirGeorg

    SirGeorg Benutzer

    Dabei seit:
    27.05.2007
    Beiträge:
    44
    Zustimmungen:
    0
    Logfile of HijackThis v1.99.1
    Scan saved at 18:17:29, on 12.06.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    C:\Programme\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\a-squared Free\a2service.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\UAService7.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
    C:\Programme\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\system32\rundll32.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Programme\ICQLite\ICQLite.exe
    C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\Hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://localhost:3476/cgi-bin/ncgir.exe?menu/fwl_index.html
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [HDInspector.exe] C:\Programme\Festplatten-Inspektor\HDInspector.exe
    O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
    O4 - HKLM\..\Run: [Desksite CMA] C:\Programme\desksite\bin\cma.exe
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
    O4 - HKLM\..\Run: [CleanUp XP] C:\Programme\CleanUp XP\CleanUp.exe -h
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\xxyyxy.dll",realset
    O4 - HKCU\..\Run: [SysRestore] "C:\DOKUME~1\N0L00K~1\LOKALE~1\Temp\tmp3.tmp.exe"
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
    O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe


    Hier mal ein aktuelles Hijack-File!
     
  19. mfsto

    mfsto Erfahrener Benutzer

    Dabei seit:
    15.04.2007
    Beiträge:
    372
    Zustimmungen:
    0
    Hmm die Temp exe ist immer noch da..
    Darum kümmern wir uns später.

    Jetzt zu dem anderen Schädling.
    Hier findest du eine kompetente Lösung um das Ding zu entfernen:
    http://www.trojaner-board.de/23940-iwe-kann-man-virtumonde-entfernen.html

    Schritt für Schritt durchlesen und ausführen.

    Statt C:\WINDOWS\system32\pmnnm.dll eben nur C:\WINDOWS\xxyyxy.dll ..

    Habs mir jetzt nicht ganz durchgelesen..Müsste aber der einzige Unterschied sein(Nur der Pfad)..

    Mfg
     
Thema:

Shit Virus

Die Seite wird geladen...

Shit Virus - Ähnliche Themen

  1. Verifikation Mail von PayPal. Ist ein Virus oder nur Spass?

    Verifikation Mail von PayPal. Ist ein Virus oder nur Spass?: Hallo. Ich habe heute eine Benachrichtigung von PayPal Bezahlsystem bekommen? Wie kann ich feststellen ob das kein Spass ist? Oder ist Spass zum...
  2. Ist ein Virus möglich, der die Hardware beschädigt?

    Ist ein Virus möglich, der die Hardware beschädigt?: Hallo Leute, seit geraumer Zeit beschäftigt mich die Frage, ob ein Virus in der Lage sein kann, physischen Schaden an einem Desktop-PC...
  3. AdChoices Werbungen-Virus oder nur Banner mit Links?

    AdChoices Werbungen-Virus oder nur Banner mit Links?: Guten Tag. Meine Frage ist: ich verstehe nicht ob Werbungsfenster vom AdChoices ein Virus ist? Letzte Zeit erscheinen sie zu oft auf meinem...
  4. Bundespolizei Virus

    Bundespolizei Virus: Hi, Vorgestern wurde ich beim Surfen im Internet auf einmal auf eine Seite weitergeleitet, auf der stand, ich haette mir angeblich Seiten mit...
  5. Virus oder Trojaner?

    Virus oder Trojaner?: ich brauche unbedingt hilfe. seit ein paar tagen streikt mein laptop total, sobald er hochgefahren ist öffnen sich fenster. ich wollte daher...