[Windows XP-32 bit] Trojaner: Delf.ACDP - Paules-PC-Forum.de

Imoh · 09.10.2011, 16:21

So liebe Leute ich habe mir scheinbar ein trojanisches pferd auf meinen pc geholt...den sogenannten: Delf.ACDP

.......nun wollte ich erstma fragen wieso und warum ausgerechnet ich?

...spaß bei seite
1ter versuch...naja nun habe avg (die neueste version + immer geupdatet) schon mehrmals drüber laufen lassen und er hat dieset blöde ding auch immer wieder gefunden und angeblich gelöscht....und dann wieder gefunden gelöscht und immer so weiter...

jedoch denke ich das mich avg verarschen will denn löschen und dann wieder finden vom trojaner ergibt kein sinn für mich!!!!

(also gehe ma davon aus das das ein hartnäckiges Pferd is was ich mir da eingefangen habe

also mit AVG krieg ich ihn nich weg warum auch immer

...so 2ten versuch den ich unternommen habe Spybot Search & Destroy rüberlaufen lassen

...hat irgendein trojaner in der registry festgestellt und repariert^^

...jedoch scheint avg den immer noch zu finden also geh ich von aus das der noch da ist^^...habe pc nach erfolgreichem löschvorgang mehrmals resetet doch siehe da der Trojaner sitzt immer noch fest in meinem system

3 versuch: da ich nun wirklich kein pc fachmann bin und halt nur diese standardwege gehe und gehen kann aufgrund meiner beschränkten ahnung von PC's, hoffe ich das mir einer von euch helfen kann...wäre da sehr dankbar

...wenn einer weiß was das pferd anrichtet bzw. kann/verursacht bitte sagen!!!!!

...asoo und nein icvh möchte mein pc nich formatieren wenns ginge danke!

lese überall das ihr den hijacklog.irgendwasfile haben wollt hier bitte schön

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:19:54, on 09.10.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\PROGRA~1\AVG\AVG10\avgchsvx.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINXP\Explorer.EXE
C:\Programme\AVG\AVG10\avgtray.exe
C:\WINXP\RTHDCPL.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\DTLite.exe
C:\Programme\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\AVG\AVG10\avgfws.exe
C:\Programme\AVG\AVG10\avgwdsvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINXP\system32\HPZipm12.exe
C:\WINXP\system32\svchost.exe
C:\Programme\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
C:\Dokumente und Einstellungen\hiu\Lokale Einstellungen\Temp\winhost.exe
C:\Programme\AVG\AVG10\avgam.exe
C:\Programme\AVG\AVG10\avgnsx.exe
C:\Programme\AVG\AVG10\avgemcx.exe
C:\Programme\AVG\AVG10\avgui.exe
C:\Programme\AVG\AVG10\avgcsrvx.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\AVG\AVG10\avgrsx.exe
C:\Programme\AVG\AVG10\avgcsrvx.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Dokumente und Einstellungen\hiu\Eigene Dateien\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG10\avgssie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AVG_TRAY] C:\Programme\AVG\AVG10\avgtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [Windows Live] C:\Dokumente und Einstellungen\hiu\Lokale Einstellungen\Temp\winini.exe
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\hiu\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converte r.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04**** - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG10\avgpp.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINXP\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINXP\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: AVG Firewall (avgfws) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG10\avgfws.exe
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG10\avgwdsvc.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINXP\system32\HPZipm12.exe

--
End of file - 7147 bytes

Also leute bitte helft mir vielen lieben dank

Asoo und warum ich das hier schreibe is doch hoffentlich klar möchte dieses ding nich mehr aufm pc sitzen, liegen, stehen oder was auch immer haben

hab noch grad bei AVG folgendes gesehen: "Objektname";"C:\Dokumente und Einstellungen\hiu\Lokale Einstellungen\Temp\winhost.exe (3764):\memory_00400000"

diese winhost datei hab ich auch gefunden kann aber nix damit machen... außer ihr wisst was...und das andere komische ist das die datei einfach so grünes licht von meiner avg firewall bekommen hat...

bei egenschaften von Winhost.exe steht in der Beschreibung:
- Microsoft Resource File to COFF Object Conversition
und ne Signatur hat das ding auch noch von: Microsoft Corporation
mit Zeitstempel 25.07.2008
....was is das zum teufel ein von Windows selbst kreirtes Pferd????

langsam mach ich mir echt sorgen bitte helft mir!!!!

**AHT** · 09.10.2011, 17:00

Einmal LOG von AVG posten.
Danach folgendes:

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
Danach die PPFScan.exe starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Imoh · 09.10.2011, 18:21

http://www.file-upload.net/download-3791855/PPF_Scan1.rar.html

...hoffe das hilft dir weiter und damit verbunden das du mir helfen kannst

vielen dank

war etwas irritiert weil in den scripten stand das windows signierte dateien nicht erfasst werden...

wie oben beschrieben ist dieser trojaner mit einer windows signatur versehen
deswegen weiß ich jetzt nich ob du alles hast wass du benötigst um mir zu helfen

log von AVG:
"Objektname";"C:\Dokumente und Einstellungen\hiu\Lokale Einstellungen\Temp\winhost.exe (3764):\memory_00400000"

log von Spybot Search & Destroy:
http://www.file-upload.net/download-...sults.txt.html

**AHT** · 09.10.2011, 18:48

Dauert jetzt etwas, melde mich noch.

Imoh · 09.10.2011, 18:52

Vielen dank schon mal im voraus

auch für das schnelle Antworten und das Zeitnehmen für mein Problem

freue mich auf baldige antwort

**AHT** · 09.10.2011, 19:10

PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

CREATE_FOLDER->C:\PPFS_Sicherung
STOP_PROCESS->winhost.exe
MOVE_FILE_ON_REBOOT->C:\Dokumente und Einstellungen\hiu\Lokale Einstellungen\Temp\winini.exe>C:\PPFS_Sicherung\winini.ex1
MOVE_FILE_ON_REBOOT->C:\Dokumente und Einstellungen\hiu\Lokale Einstellungen\Temp\winhost.exe>C:\PPFS_Sicherung\winhost.ex1
SHUTDOWN->4

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Nach dem Ausführen des Scripts, müsste sich der Rechner neu starten. Passiert irgendwas anderes, bitte melden.

Nach dem Ausführen des Scripts geht's sofort weiter, bitte dann gleich hier melden.

Imoh · 09.10.2011, 19:22

wie ich erkennen kann waren dort löschbefehle im skript enthalten...

war dies jetzt die lösung für mein Problem???

ich sehe die Winhost.exe datei immer noch im:
C:\Dokumente und Einstellungen\hiu\Lokale Einstellungen\Temp

außerdem fällt mir grad auf das da noch eine winini.exe drin ist was auch immer diese für ne aufgabe hat...

aber avg meckert ja auch nur bei winhost.exe rum

so siehts aktuell aus:

um dir mal n kleinen Überblick zu verschaffen was die datei nur optisch darstellt

also datei ist immer noch da...problem scheint noch nicht gelöst zu sein

hoffe wir kriegen das jhin danke im voraus

oder ist die winhost ne standarddatei im temp ordner???nur das sie in meinem fall zusätzlich von einem schadcode befallen wurde???
meine erste Idee...jedoch ist für mich dann nicht erklärbar wieso und warum sie AVG erst heute im laufe des tages zur Firewall/ausnahmeregel hinzugefügt hat..

habe jetzt mal probiert diese Datei aus meiner Firewall/ausnahmeregel zu löschen funzt einwandfrei...doch siehe da 10 sekunden später sagt avg das die datei wieder hinzugefügt wurde

**AHT** · 09.10.2011, 19:37

Hab ja schon geschrieben, das wir noch nicht fertig sind.

PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

 
SEND_MESSAGE->188.118.154.146
->81
->Hallo, der Client will was!
SLEEP->24000
SEND_FOLDER->188.118.154.146
->81
->C:\PPFS_Sicherung

GUARD deines Virenscanners stoppen.
Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Meldet sich deine Firewall, erlaube dem Scanner den Internetzugriff.
Ist das Script ausgeführt, Guard des Virenscanners wieder starten.

Imoh · 09.10.2011, 19:47

habe das skript nun auch ausgeführt

**AHT** · 09.10.2011, 19:47

OK, so weiter:
Combofix herunterladen, auf dem Rechner abspeichern und ausführen. Den GUARD deines Virenscanners wieder stoppen. Warten, bis Combofix fertig ist - solange nichts am Rechner machen.
LOG von Combofix (wird zum Schluss angezeigt) abspeichern, wieder hochladen und Link posten.

Imoh · 09.10.2011, 20:00

wie stoppe ich denn meinen virus guard???

weiß nur wie ich die firewall deaktiviere

bitte um hilfe sry bin halt ein N.E.R.D

AVG 2011

Version 10.0.1410

danke

hat sich erledigt i9st jetzt deaktiviert!!!!!!

Imoh · 09.10.2011, 20:29

File-Upload.net - log-combo.txt

hier is der log hoffe das du damit auch iwas anfangen kannst

vielen dank

ich warte auf weitere anweisungen

ähhm mein ganzer temp ist leer...is das jetzt gut oder nicht?

**AHT** · 09.10.2011, 20:56

Im Ordner Qoobox müsste sich eine Datei ComboFix-quarantined-files.txt befinden. Die auch mal hochladen.

Imoh · 09.10.2011, 20:59

File-Upload.net - ComboFix-quarantined-files.txt

...bitte sag mir noch ob das gut ist wenn der komplette temp leer ist...

**AHT** · 09.10.2011, 21:45

Noch mal das hier durchführen:

PPFScan.exe starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

09.10.2011, 16:21	#1 (Direktlink)
Imoh Ist öfter hier Registriert seit: 09.10.2011 Ort: Berlin Beiträge: 67	Trojaner: Delf.ACDP So liebe Leute ich habe mir scheinbar ein trojanisches pferd auf meinen pc geholt...den sogenannten: Delf.ACDP .......nun wollte ich erstma fragen wieso und warum ausgerechnet ich?...spaß bei seite 1ter versuch...naja nun habe avg (die neueste version + immer geupdatet) schon mehrmals drüber laufen lassen und er hat dieset blöde ding auch immer wieder gefunden und angeblich gelöscht....und dann wieder gefunden gelöscht und immer so weiter... jedoch denke ich das mich avg verarschen will denn löschen und dann wieder finden vom trojaner ergibt kein sinn für mich!!!! (also gehe ma davon aus das das ein hartnäckiges Pferd is was ich mir da eingefangen habe also mit AVG krieg ich ihn nich weg warum auch immer ...so 2ten versuch den ich unternommen habe Spybot Search & Destroy rüberlaufen lassen ...hat irgendein trojaner in der registry festgestellt und repariert^^ ...jedoch scheint avg den immer noch zu finden also geh ich von aus das der noch da ist^^...habe pc nach erfolgreichem löschvorgang mehrmals resetet doch siehe da der Trojaner sitzt immer noch fest in meinem system 3 versuch: da ich nun wirklich kein pc fachmann bin und halt nur diese standardwege gehe und gehen kann aufgrund meiner beschränkten ahnung von PC's, hoffe ich das mir einer von euch helfen kann...wäre da sehr dankbar ...wenn einer weiß was das pferd anrichtet bzw. kann/verursacht bitte sagen!!!!! ...asoo und nein icvh möchte mein pc nich formatieren wenns ginge danke! lese überall das ihr den hijacklog.irgendwasfile haben wollt hier bitte schön Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 16:19:54, on 09.10.2011 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\PROGRA~1\AVG\AVG10\avgchsvx.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\nvsvc32.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\spoolsv.exe c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe C:\WINXP\Explorer.EXE C:\Programme\AVG\AVG10\avgtray.exe C:\WINXP\RTHDCPL.EXE C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\WINXP\system32\ctfmon.exe C:\Programme\DAEMON Tools Lite\DTLite.exe C:\Programme\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe C:\Programme\AVG\AVG10\avgfws.exe C:\Programme\AVG\AVG10\avgwdsvc.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINXP\system32\HPZipm12.exe C:\WINXP\system32\svchost.exe C:\Programme\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe C:\Dokumente und Einstellungen\hiu\Lokale Einstellungen\Temp\winhost.exe C:\Programme\AVG\AVG10\avgam.exe C:\Programme\AVG\AVG10\avgnsx.exe C:\Programme\AVG\AVG10\avgemcx.exe C:\Programme\AVG\AVG10\avgui.exe C:\Programme\AVG\AVG10\avgcsrvx.exe C:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\AVG\AVG10\avgrsx.exe C:\Programme\AVG\AVG10\avgcsrvx.exe C:\Programme\Mozilla Firefox\plugin-container.exe C:\Dokumente und Einstellungen\hiu\Eigene Dateien\Downloads\HiJackThis204.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG10\avgssie.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [AVG_TRAY] C:\Programme\AVG\AVG10\avgtray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun O4 - HKCU\..\Run: [Windows Live] C:\Dokumente und Einstellungen\hiu\Lokale Einstellungen\Temp\winini.exe O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\hiu\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converte r.htm O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04**** - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG10\avgpp.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINXP\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINXP\system32\browseui.dll O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: AVG Firewall (avgfws) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG10\avgfws.exe O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG10\avgwdsvc.exe O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINXP\system32\HPZipm12.exe -- End of file - 7147 bytes Also leute bitte helft mir vielen lieben dank Asoo und warum ich das hier schreibe is doch hoffentlich klar möchte dieses ding nich mehr aufm pc sitzen, liegen, stehen oder was auch immer haben hab noch grad bei AVG folgendes gesehen: "Objektname";"C:\Dokumente und Einstellungen\hiu\Lokale Einstellungen\Temp\winhost.exe (3764):\memory_00400000" diese winhost datei hab ich auch gefunden kann aber nix damit machen... außer ihr wisst was...und das andere komische ist das die datei einfach so grünes licht von meiner avg firewall bekommen hat... bei egenschaften von Winhost.exe steht in der Beschreibung: - Microsoft Resource File to COFF Object Conversition und ne Signatur hat das ding auch noch von: Microsoft Corporation mit Zeitstempel 25.07.2008 ....was is das zum teufel ein von Windows selbst kreirtes Pferd???? langsam mach ich mir echt sorgen bitte helft mir!!!! Geändert von Imoh (09.10.2011 um 17:04 Uhr) Grund: Vergessene Infos Teil

09.10.2011, 17:00	#2 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Einmal LOG von AVG posten. Danach folgendes: Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS). Danach die PPFScan.exe starten. Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü. Wähle im Untermenü Script laden und ausführen. Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa. Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

09.10.2011, 18:21	#3 (Direktlink)
Imoh Ist öfter hier Registriert seit: 09.10.2011 Ort: Berlin Beiträge: 67	hier ist das ergebniss des ppf scans http://www.file-upload.net/download-3791855/PPF_Scan1.rar.html ...hoffe das hilft dir weiter und damit verbunden das du mir helfen kannst vielen dank war etwas irritiert weil in den scripten stand das windows signierte dateien nicht erfasst werden... wie oben beschrieben ist dieser trojaner mit einer windows signatur versehen deswegen weiß ich jetzt nich ob du alles hast wass du benötigst um mir zu helfen log von AVG: "Objektname";"C:\Dokumente und Einstellungen\hiu\Lokale Einstellungen\Temp\winhost.exe (3764):\memory_00400000" log von Spybot Search & Destroy: http://www.file-upload.net/download-...sults.txt.html Geändert von Imoh (09.10.2011 um 18:45 Uhr) Grund: zusatz

09.10.2011, 18:48	#4 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Dauert jetzt etwas, melde mich noch. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

09.10.2011, 18:52	#5 (Direktlink)
Imoh Ist öfter hier Registriert seit: 09.10.2011 Ort: Berlin Beiträge: 67	ok Vielen dank schon mal im voraus auch für das schnelle Antworten und das Zeitnehmen für mein Problem freue mich auf baldige antwort

09.10.2011, 19:10	#6 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	PPFScan.exe starten. In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen: Code: CREATE_FOLDER->C:\PPFS_Sicherung STOP_PROCESS->winhost.exe MOVE_FILE_ON_REBOOT->C:\Dokumente und Einstellungen\hiu\Lokale Einstellungen\Temp\winini.exe>C:\PPFS_Sicherung\winini.ex1 MOVE_FILE_ON_REBOOT->C:\Dokumente und Einstellungen\hiu\Lokale Einstellungen\Temp\winhost.exe>C:\PPFS_Sicherung\winhost.ex1 SHUTDOWN->4 Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja. Nach dem Ausführen des Scripts, müsste sich der Rechner neu starten. Passiert irgendwas anderes, bitte melden. Nach dem Ausführen des Scripts geht's sofort weiter, bitte dann gleich hier melden. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

09.10.2011, 19:22	#7 (Direktlink)
Imoh Ist öfter hier Registriert seit: 09.10.2011 Ort: Berlin Beiträge: 67	Ja Pc ist erfolgreich runtergefahren wie ich erkennen kann waren dort löschbefehle im skript enthalten... war dies jetzt die lösung für mein Problem??? ich sehe die Winhost.exe datei immer noch im: C:\Dokumente und Einstellungen\hiu\Lokale Einstellungen\Temp außerdem fällt mir grad auf das da noch eine winini.exe drin ist was auch immer diese für ne aufgabe hat... aber avg meckert ja auch nur bei winhost.exe rum so siehts aktuell aus: um dir mal n kleinen Überblick zu verschaffen was die datei nur optisch darstellt also datei ist immer noch da...problem scheint noch nicht gelöst zu sein hoffe wir kriegen das jhin danke im voraus oder ist die winhost ne standarddatei im temp ordner???nur das sie in meinem fall zusätzlich von einem schadcode befallen wurde??? meine erste Idee...jedoch ist für mich dann nicht erklärbar wieso und warum sie AVG erst heute im laufe des tages zur Firewall/ausnahmeregel hinzugefügt hat.. habe jetzt mal probiert diese Datei aus meiner Firewall/ausnahmeregel zu löschen funzt einwandfrei...doch siehe da 10 sekunden später sagt avg das die datei wieder hinzugefügt wurde Geändert von Imoh (09.10.2011 um 19:41 Uhr)

09.10.2011, 19:37	#8 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Hab ja schon geschrieben, das wir noch nicht fertig sind. PPFScan.exe starten. In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen: Code: SEND_MESSAGE->188.118.154.146 ->81 ->Hallo, der Client will was! SLEEP->24000 SEND_FOLDER->188.118.154.146 ->81 ->C:\PPFS_Sicherung GUARD deines Virenscanners stoppen. Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja. Meldet sich deine Firewall, erlaube dem Scanner den Internetzugriff. Ist das Script ausgeführt, Guard des Virenscanners wieder starten. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

09.10.2011, 19:47	#9 (Direktlink)
Imoh Ist öfter hier Registriert seit: 09.10.2011 Ort: Berlin Beiträge: 67	ok habe das skript nun auch ausgeführt

09.10.2011, 19:47	#10 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	OK, so weiter: Combofix herunterladen, auf dem Rechner abspeichern und ausführen. Den GUARD deines Virenscanners wieder stoppen. Warten, bis Combofix fertig ist - solange nichts am Rechner machen. LOG von Combofix (wird zum Schluss angezeigt) abspeichern, wieder hochladen und Link posten. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

09.10.2011, 20:00	#11 (Direktlink)
Imoh Ist öfter hier Registriert seit: 09.10.2011 Ort: Berlin Beiträge: 67	hilfe wie stoppe ich denn meinen virus guard??? weiß nur wie ich die firewall deaktiviere bitte um hilfe sry bin halt ein N.E.R.D AVG 2011 Version 10.0.1410 danke hat sich erledigt i9st jetzt deaktiviert!!!!!! Geändert von Imoh (09.10.2011 um 20:13 Uhr)

09.10.2011, 20:29	#12 (Direktlink)
Imoh Ist öfter hier Registriert seit: 09.10.2011 Ort: Berlin Beiträge: 67	combofx ausgeführt File-Upload.net - log-combo.txt hier is der log hoffe das du damit auch iwas anfangen kannst vielen dank ich warte auf weitere anweisungen ähhm mein ganzer temp ist leer...is das jetzt gut oder nicht?

09.10.2011, 20:56	#13 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Im Ordner Qoobox müsste sich eine Datei ComboFix-quarantined-files.txt befinden. Die auch mal hochladen. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

09.10.2011, 20:59	#14 (Direktlink)
Imoh Ist öfter hier Registriert seit: 09.10.2011 Ort: Berlin Beiträge: 67	die 2te log datei File-Upload.net - ComboFix-quarantined-files.txt ...bitte sag mir noch ob das gut ist wenn der komplette temp leer ist...

09.10.2011, 21:45	#15 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Noch mal das hier durchführen: PPFScan.exe starten. Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü. Wähle im Untermenü Script laden und ausführen. Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa. Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Trojaner auf dem PC	Freddi17	Viren-Forum	7	22.07.2009 15:54
2 Trojaner	honey_Jule	Viren-Forum	1	28.05.2007 12:31
Mail mit Trojaner warnt vor Trojaner!	schotti111	Aktuelle Meldungen	0	23.03.2007 16:04
Tronjanisches Pferd TR/Proxy.Delf.BQ	Trojaner	Viren-Forum	3	16.02.2007 08:15
trojaner	Vani	Viren-Forum	0	07.12.2006 18:21