Trojaner? Roaming\Riqy\ycnod.exe

Dieses Thema im Forum "Viren, Trojaner & Malware" wurde erstellt von Rokko90, 8. September 2010 .

Schlagworte:
  1. 8. September 2010
    Hallo alle,

    mein bruder hat seit einigen tagen das problem, dass einige internetseiten gar nicht laden, zb. facebook etc. und es dauert ca. 2 minuten um auf youtube zu kommen und wenn er dann ein video anklickt, lädt es einfach nicht.

    er hat mir auch gesagt, dass ihm eine .dll datei fehlt.

    ps. er hat windows 7, vllt ist das wichtig zu wissen.


    mfg. und thx im voraus


    edit: C: user appdata local temp und dann die .dll datei

    das modul wurde nicht gefunden steht drunter

    und den local temp... ordner gibts auch nich, aber schon seit einiger zeit nicht, trotzdem hat's inet noch gefunzt
     
  2. 8. September 2010
    AW: Trojaner / Virus?

    Hi,

    analysire dein Sys mal mit Hijackthis und poste uns mal das LogFile, dannach können wir es mal auswerten!

    Gruß
    Graffix
     
  3. 8. September 2010
    AW: Trojaner / Virus?

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 16:24:35, on 08.09.2010
    Platform: Windows 7 (WinNT 6.00.3504)
    MSIE: Internet Explorer v8.00 (8.00.7600.16385)
    Boot mode: Normal

    Running processes:
    C:\Users\Marco\AppData\Roaming\Riqy\ycnod.exe
    C:\Program Files (x86)\McAfee Security Scan\2.0.181\SSScheduler.exe
    C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCU.exe
    C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
    C:\Program Files (x86)\Mozilla Firefox\firefox.exe
    C:\Program Files (x86)\ICQLite\ICQLite.exe
    C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files (x86)\Windows Live\Contacts\wlcomm.exe
    C:\Program Files (x86)\Windows Live\Messenger\msvs.exe
    C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
    C:\Users\Marco\Documents\Meine empfangenen Dateien\HiJackThis204.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Search
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von ARLT Computer
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files (x86)\ICQ6Toolbar\ICQToolBar.dll
    R3 - URLSearchHook: SearchHook Class - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\AddressBarSearch.dll
    R3 - URLSearchHook: (no name) - - (no file)
    F2 - REG:system.ini: UserInit=userinit.exe
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: VMLoadBHO - {C17C7688-31D1-46D7-8C9B-5D253E4F5D5E} - C:\Users\Marco\AppData\Roaming\VMLoad\addin\VMLoad.dll
    O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files (x86)\MSN\Toolbar\3.0.1203.0\msneshellx.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
    O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Program Files (x86)\MSN\Toolbar\3.0.1203.0\msneshellx.dll
    O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files (x86)\ICQ6Toolbar\ICQToolBar.dll
    O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll
    O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    O4 - HKLM\..\Run: [BCU] "C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCU.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [{05B18DD9-B535-428B-22D4-4F2B2F8C8FA7}] C:\Users\Marco\AppData\Roaming\Bevyi\yvob.exe
    O4 - HKCU\..\Run: [{023C5AA5-2636-5E4F-5E35-11E341FC38B3}] C:\Users\Marco\AppData\Roaming\Exsiuh\akduw.exe
    O4 - HKCU\..\Run: [cmdkerpt] rundll32 "C:\Users\Marco\AppData\Local\Temp\SetIInit.dll",ClientDllStartup
    O4 - HKCU\..\Run: [{3E4A95D5-736E-129B-8B59-80883250EAD0}] C:\Users\Marco\AppData\Roaming\Riqy\ycnod.exe
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files (x86)\ICQLite\ICQLite.exe -trayboot
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
    O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files (x86)\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files (x86)\ICQLite\ICQLite.exe
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
    O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
    O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Browser Configuration Utility Service (BCUService) - DeviceVM, Inc. - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\BCUService.exe
    O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
    O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - C:\Program Files (x86)\Gigabyte\EasySaver\ESSVR.EXE
    O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
    O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe
    O23 - Service: ICQ Service - Unknown owner - C:\Program Files (x86)\ICQ6Toolbar\ICQ Service.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files (x86)\McAfee Security Scan\2.0.181\McCHSvc.exe
    O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
    O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
    O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
    O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
    O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
    O23 - Service: @C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe
    O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesService64.exe
    O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
    O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
    O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
    O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
    O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

    --
    End of file - 9618 bytes
     
  4. 8. September 2010
    AW: Trojaner / Virus?

    C:\Users\Marco\AppData\Roaming\Riqy\ycnod.exe

    einmal bei virustotal hochladen.

    In Zukunft #Logfiles immer als [noparse][SPOILER][code]Logfile[/code][/SPOILER][/noparse] posten.

    sieht dann so aus:

    Spoiler
    Code:
    Logfile

    Wahrscheinlich wird danach die Empfehlung sein, den Computer zu formatieren.
    Warum steht im Beitrag unter diesem.
     
  5. 8. September 2010
    AW: Trojaner / Virus?

    Hallo spotting
    ich bin der betroffene - rokko90 hat mein problem gepostet da ich zeitweise den browser ( sowohl firefox als auch IE9 nicht nutzen konnte.
    ein "roaming\riqy\ycnod.exe" gibt es in meinem appdata nicht, es gibt nicht einmal "roaming", nur einen ordner namens "macromedia", der den orner "flash player" und dessen security enthält.
    was soll ich tun?

    ps die seite virustotal.com kann ich zwar aufrufen, jedoch lädt sie ewig und es ist einfach kein inhalt zu sehen, so geht es mir auch mit youtube.de

    gruss snijder
     
  6. 8. September 2010
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    AW: Trojaner / Virus?

    Tja-

    1. Den Computer im abgesicherten Modus starten
    2. In den Ordneroptionen unter "Ansicht" die versteckten Dateien und Ordner anzeigen lassen, die Systemdateien und Ordner anzeigen lassen
    3. die Datei auf den Desktop kopieren
    4. die Datei löschen.
    5. wo wir schonmal hier sind, das Hijackthis Log wiederholen und speichern.
    6. Dann einmal Mcaffee einen Systemscan besser einen vollständigen Scan machen lassen
    7. falls es zu einem positiven Befund kommt, das Hijackthis log wiederholen (und unter anderem Namen speichern)
    8. Den Computer neu starten lassen,
    9. Die kopierte Datei bei Virustotal hochladen.

    10.- 1. Hijackthislog, Mcaffee Log, 2. Hijackthis log und virustotal Log wie oben gezeigt hier posten.

    11.
    Formatieren. / Backup einspielen. Du kannst aber auch direkt hiermit anfangen. Das Verhalten, dass du beschreibst würde mir zur Identifikation einer Infektion ausreichen. Aber da gibt es bestimmt noch ein paar hier im Forum, die andere Ansätze verfolgen.

    -> Nach dem Formatieren / Backup einspielen KEINE - aber wirklich KEINE Dateien die auf dem Computer gespeichert waren ausführen. - abspielen - betrachten ...
    Zuerst 48 Stunden warten und dann mit einem Antivirenprogramm (Escan / MWAV z.b.) die ganze Festplatte scannen.

    Warum ich hier so drastisch vorgehen würde? Warum man bei Infektionen den Rechner neu installieren sollte - RR:Board


    EDIT
    ich sehe gerade, dass wir hier über win 7 x64 reden.
    Dann pack Hijackthis in die Tonne und nimm oldtimer
    OTL - OTLogfile by Oldtimer - Trojaner-Board
     
  7. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.