MSN-Trojaner fies als Bild getarnt

[Swisstreasure]

Hallo DomiNi1

Hast du wirklich nur die beiden Zeilen gefixt?


Starte HiJackthis. Drücke:

View the List of Backups

Dazu hier ein Auszug aus einer Anleitung:

Sollte sich im Nachhinein herausstellen, dass du etwas gelöscht hast, was du nicht wolltest (z.B. ein Programm aus dem Autorun gelöscht, welches du dort aber haben möchtest), so kannst du Einträge mit der eingebauten Backup-Funktion wieder herstellen. Dazu starte HijackThis einfach erneut und wähle nun bei den Startoptionen "View the list of Backups" aus. Wähle dort alle wieder herzustellenden Einträge aus, indem du vor ihnen wieder ein Häkchen setzt und abschließend auf "Restore" klickst.

Dann mach die Löschung wieder rückgängig und schau ob es wieder fuktioniert.

Ich kann mir jedoch nicht vorstellen das dies nur durch das fixen dieser Einträge entsand, da diese beiden Einträge keinerelei Funktionen beinhalten.

Ging es schon nicht mehr bevor du Malwarebytes durchgeführt hast?

Gruss Swiss

 

[DomiNi1]

Also

Ja es waren nur die beiden Dateien, die gelöscht wurden.
Das wurde gleich nach Hijackthis angezeigt, aber nachdem ich gerade einen Neustart durchgeführt habe, wurd keine Meldung mehr angezeigt und ich konnte auch CHKDSK ausführen. Ich werde jetzt gleich mal Combofix starten und schauen, ob es geht.

(Mal eine Frage nebenbei: Wie kann ich es wieder rückgängig machen, wenn ich bei einem maximierten Outlook Express Fenster die obere Fensterleiste nicht sehe und ich auch nicht scrollen kann, allerdings bei einem kleineren fenster alles angezeigt wird?)

 

[DomiNi1]

Combofix Log Teil 1

ComboFix 08-06-19.4 - Dominik 2008-06-20 17:48:27.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.221 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Dominik\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Reinhold\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-20 bis 2008-06-20 ))))))))))))))))))))))))))))))
.

2008-06-20 14:42 . 2008-06-20 14:42 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-20 14:42 . 2008-06-20 14:42 <DIR> d-------- C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Malwarebytes
2008-06-20 14:42 . 2008-06-20 14:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-20 14:42 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-20 14:42 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-18 17:58 . 2008-06-18 17:58 <DIR> d-------- C:\Programme\Trend Micro
2008-06-17 13:42 . 2008-06-17 13:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-06-14 20:12 . 2008-06-14 20:12 <DIR> d-------- C:\Programme\CleanUp!
2008-06-14 20:05 . 2008-06-14 20:06 <DIR> d-------- C:\Programme\CCleaner
2008-06-14 00:21 . 2008-06-14 00:21 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-06-13 23:38 . 2008-06-13 23:38 74 ---hs---- C:\WINDOWS\system32\uxytyglt.tmp
2008-06-06 21:45 . 2008-06-07 20:25 <DIR> d-------- C:\Dokumente und Einstellungen\Dominik\tipp10

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-20 15:47 --------- d-----w C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\tunebite
2008-06-20 14:53 17,408 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS
2008-06-17 15:09 22,670 ----a-w C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\wklnhst.dat
2008-06-17 11:42 --------- d-----w C:\Programme\ICQToolbar
2008-06-14 18:05 --------- d-----w C:\Programme\Yahoo!
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 07:34 7,456 ----a-w C:\Dokumente und Einstellungen\Reinhold\Anwendungsdaten\wklnhst.dat
2008-05-14 11:58 --------- d-----w C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\Tobit
2008-05-14 11:57 --------- d-----w C:\Programme\Gemeinsame Dateien\Tobit
2008-05-13 11:04 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-13 11:01 --------- d-----w C:\Programme\Winamp
2008-05-13 11:01 --------- d-----w C:\Programme\EA SPORTS
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-28 13:16 1,541,896 ----a-w C:\WINDOWS\CISUnins.exe
2008-04-28 13:16 1,541,896 ----a-w C:\WINDOWS\CICUnins.exe
2008-04-21 07:01 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-06 14:49 73,632 -c--a-w C:\Dokumente und Einstellungen\Dominik\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-03-25 04:51 621,344 ------w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ------w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2006-05-11 21:11 140 -c--a-w C:\Dokumente und Einstellungen\Rosario\Anwendungsdaten\wklnhst.dat
2005-08-10 15:45 70,736 -c--a-w C:\Dokumente und Einstellungen\Reinhold\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2004-11-23 21:15 1,001 -c--a-w C:\Programme\INSTALL.LOG
1996-12-02 16:44 582,144 -c--a-w C:\Programme\Gemeinsame Dateien\dao350.dll
2004-10-17 17:30 8 --sh--r C:\WINDOWS\system32\32828BBAAC.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [ ]
"LogitechSoftwareUpdate"="C:\Programme\Logitech\Video\ManifestEngine.exe" [2005-01-18 17:07 196608]
"tunebite.exe"="C:\Programme\tunebite\tunebite.exe" [2006-03-08 17:15 1605733]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-19 15:42 68856]
"BitTorrent"="C:\Programme\BitTorrent\bittorrent.exe" [ ]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:56 204288]
"ClipIncSrvTray"="D:\Tobit ClipInc\Player\ClipIncTray.exe" [2008-04-18 18:08 584704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-09-21 00:09 4583424]
"nwiz"="nwiz.exe" [2004-09-21 00:09 921600 C:\WINDOWS\system32\nwiz.exe]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 16:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl,CMICtrlWnd" []
"Dit"="Dit.exe" [2004-07-20 18:18 90112 C:\WINDOWS\Dit.exe]
"CHotkey"="mHotkey.exe" [2004-02-24 14:05 508416 C:\WINDOWS\mHotkey.exe]
"ledpointer"="CNYHKey.exe" [2004-02-03 17:15 5794816 C:\WINDOWS\CNYHKey.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 12:01 88209 C:\WINDOWS\AGRSMMSG.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [2004-10-21 11:03 81920]

 

[DomiNi1]

Combofix Log Teil 2

"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [2004-08-22 18:05 81920]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-10-08 11:52 221184]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2005-01-18 17:47 458752]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2005-01-18 17:37 217088]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe" [2005-09-09 01:18 57344]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2006-06-21 19:14 35328]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-20 13:22 262401]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\Dokumente und Einstellungen\Reinhold\Startmen\Programme\Autostart\
GMX Clicktionary 2.8.lnk - C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe [2007-12-26 23:46:23 446464]

C:\Dokumente und Einstellungen\Dominik\Startmen\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-04-15 13:03:23 110592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm
"msacm.l3codec"= C:\WINDOWS\system32\l3codecp.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%ProgramFiles%\\AOL 9.0\\AOL.exe"=
"%ProgramFiles%\\AOL 9.0\\WAOL.exe"=
"%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"=
"%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"=
"%ProgramFiles%\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"D:\\Tobit ClipInc\\Server\\ClipInc-Server.exe"=
"D:\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=

R2 ClipInc001;ClipInc 001;D:\Tobit ClipInc\Server\ClipInc-Server.exe 001 []
R2 ClipInc002;ClipInc 002;D:\Tobit ClipInc\Server\ClipInc-Server.exe 002 []
R2 ClipInc003;ClipInc 003;D:\Tobit ClipInc\Server\ClipInc-Server.exe 003 []
R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-19 23:29]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-10-06 15:10]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 14:58]
R3 TDSLAdapter;T-DSL-Adapter (T-Online);C:\WINDOWS\system32\DRIVERS\TDSLAdap.sys [2001-02-12 21:02]
R3 UKBFLT;UKBFLT;C:\WINDOWS\system32\DRIVERS\UKBFLT.sys [2003-12-19 17:13]
R3 wbscr;Winbond Smartcard Reader for I/O;C:\WINDOWS\system32\drivers\wbscr.sys [2002-04-24 12:07]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-19 23:27]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-19 23:41]
S3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2008-06-20 16:53]
S3 gbalink;GBA Link Driver (gbalink.sys);C:\WINDOWS\system32\Drivers\gbalink.sys [2001-03-08 12:15]
S3 jatmlano;jatmlano;C:\DOKUME~1\Dominik\LOKALE~1\Temp\jatmlano.sys []
S3 TDSLProtocol;T-DSL-Protocol (T-Online);C:\WINDOWS\system32\DRIVERS\TDSLProt.sys [2001-02-12 21:02]
S3 TNPacket;T-Systems Nova Packet Capture Driver;C:\Programme\T-DSL SpeedManager\TNPACKET.SYS [2004-03-11 17:44]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-04-30 21:20:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-20 17:51:16
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-20 17:52:49
ComboFix-quarantined-files.txt 2008-06-20 15:52:35
ComboFix2.txt 2008-06-14 18:38:45

18 Verzeichnis(se), 39,152,218,112 Bytes frei
23 Verzeichnis(se), 39,188,488,192 Bytes frei

157 --- E O F --- 2008-06-20 12:24:40

 

[DomiNi1]

Und

Systemwiederherstellung deaktivieren

Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen.(also wieder aktivieren)


Soll ich bei diesem Punkt das Häckchen bei Systemwiederherstellung auf allen Laufwerken deaktivieren setzen und OK drücken und dann wieder das gleiche machen, bloß das Häckchen dann wegklicken und wieder mit OK bestätigen?

Ist das Foto eine gefährliche Datei?

 

[Swisstreasure]

Hallo domiNi1

Das mit dem Systemwiederherstellungspunkt mache so wie du es geschrieben hast.

Dann muss das noch raus:

>>
http://virus-protect.org/artikel/tools/otmoveIt.html
Download OTMoveIt zum Desktop
OTMoveIt öffne: OTMoveIt.exe
OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

C:\WINDOWS\system32\uxytyglt.tmp

Klicke auf den Roten MoveIt!

>>
Scanne noch online mit bitdefender
http://virus-protect.org/artikel/tools/bitdefender.html

Gruss Swiss

 

[DomiNi1]

So

Ich habe jetzt alles so gemacht, außer mit Bitdenfender gescannt. Bei meinem Computer funktioniert die Kühlung nicht richtig und im Sommer stürzt er bei lägerer/intensiverer Benutzung nach einer gewissen Zeit ab und da Bitdefender etwas länger braucht kann ich nie fertig scannen lassen ohne, dass er vorher abstürzt.

 

[Swisstreasure]

Hallo DomiNi1

Das mit dem Kühler ist natürlich auch nicht so optimal ;)

Aber dein System sollte wieder sauber sein.

Für die Zukunft: Nicht auf alles klicken was verlinkt ist :)

Gruss Swiss

 

[DomiNi1]

Ok

Ja, das weiß ich, aber mei ;)

Ja das denk ich auch. Mein Computer hat auf jedenfall keine merkbaren Beschwerden mehr (außer dem kühler) ;)

Also wirklich großen Dank an dich :)

(Ne ne, werd nie mehr auf so etwas klicken, dieses eine Mal war's ja auch nur ein blöder Zufall)

 

[DomiNi1]

So

Tut mir leid, aber nochmal zu den zwei von Hijackthis gelöschten Dateien. Letztens kam wieder eine Meldung zu einer beschädigten Windowsdatei und neuerdings führt mein Computer immer vor dem Start noch ein CHKDSK aus. Soll ich die zwei Dateien vielleicht doch wiederherstellen?

 

[Swisstreasure]

Kann mir kaum vorstellen, dass dies die Ursache ist, aber stelle sie wieder her und schaue ob es so geht. Ich denke jedoch nicht das en an HIJACK liegt. Welche Datei soll dann beschädigt sein. Wasfür eine Meldung kommt??

Gruss Swiss

 

[DomiNi1]

Ich hab die Dateien jetzt mal wiederhergestellt. Bei der einen konnte aber lediglich die Registry hergestellt werden nich die Datei selbst.

 

[Swisstreasure]

Es sind auch keine Dateien, darum steht hinten auch (file missing). Kommt die Meldung immernoch?

Wobei ich mir wie schon gesagt nicht vorstelle kann, dass dies durch das fixen entstanden sein soll.

EDIT:
Sag noch welche Datei als beschädigt angezeigt wird.
Und welche Meldung erschein.

Gruss Swss