Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Kann Trojaner nicht löschen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 18.08.2008, 11:19   #1
Taddl
 
Kann Trojaner nicht löschen - Standard

Kann Trojaner nicht löschen



hi

Ich habe folgendes Problem ich habe mir eine Datei aus dem Internet heruntergeladen. Nachdem ich ihn das nächstemal hochgefahren habe waren meine Desktop Icons weg die Taskleiste fehlte und auf meinem Hntergrund stand irgendwas von Spyware detected. Also habe ich den rechner mit AntiVir Guard überprüft. Der hat dan zig Viren gefunden die ich dan auch gelöscht habe, bis auf 3: C:/WINDOWS/System32/rqRjbxp.dll C:/WINDOWS/System32/rqPjbXp.dll
C:/WINDOWS/System32/tuvWomkc.dll wenn AntiVir eben diese Viren findet kommt die nachricht ob ich sie nach einem Neustart löschen muss aber sie sind jedesmal wieder/noch da und wenn ich sie versuche Manuell zu löschen kommt die Nachricht das das gerade von irgendwas benutzt wird und deshalb nicht gelöscht werden kann, ich bin dan mal auf die Idee gekommen die Systemwiederherstellung zu aktiviren jetzt ist der Explorer die Taskleiste und mein Desktop zwar wieder da aber das Internet funzt nicht mehr. Ich benutze einen wireless Stick und das Programm Netgear Wg111v3 um eine Verbindung aufzubauen. Es kommt die Nachricht das ich eine eingeschränkte bzw. keine konnektivität habe und das das an meiner Netzwerk adresse liegt. Auch wenn ich meine ip auf Manuell oder Automatisch setze ändert das nichts, und ich habe einen Brief von der Telekom erhalten das von meinem Rechner aus Spam versendet wird. Den Rechner neu aufzusetzen kommt für mich nicht infrage da ich weder eine eine Windows Cd noch einen code besitze. Ich wäre dankbar wenn mir jemand sagen könnte wie ich den PC dazu "zwingen" könnte den Trojaner ohne Neustart zu löschen.

Alt 18.08.2008, 18:47   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Kann Trojaner nicht löschen - Icon32

Kann Trojaner nicht löschen



Zitat:
Zitat von Taddl Beitrag anzeigen
und ich habe einen Brief von der Telekom erhalten das von meinem Rechner aus Spam versendet wird. Den Rechner neu aufzusetzen kommt für mich nicht infrage da ich weder eine eine Windows Cd noch einen code besitze.
Tja
Dann hast Du aber ein Problem bei Backdoorbefall und der ist bei dieser Sachlage garnicht so unwahrscheinlich, wenn Dein Rechner ständig Spam versendet.

Wenn Du weder CD-Key noch Windows-CD hast, drängt sich mir das Gefühl auf, daß Du gar keine Windowslizenz hast. Kauf Dir ein Original-Windows-XP und Du wirst hinsichtlich dieser beiden Dinge auch keine Probleme mehr haben. (Ich geh jetzt einfach mal davon aus, daß Du WinXP benutzt, auch wenn Du es nicht nanntest, obwohl Du lt. den NUBs das run solltest)

Ansonsten gibt es noch Möglichkeiten sich eine Windows-CD zu basteln und den Windows-Key auszulesen. Die Windows-CD zu basteln würde ich bei Deinem verseuchten PC aber nicht machen, dann lieber eine CD von nem Bekannten oder nem Nachbarn ausleihen.

Acker diese Punkte für weitere Analysen ab:

A.) Poste ein Hijackthis Logfile.

B.) Führe dieses MBR-Tool aus und poste die Ausgabe

C.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

D.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
E.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________

__________________

Alt 19.08.2008, 06:27   #3
Taddl
 
Kann Trojaner nicht löschen - Standard

Kann Trojaner nicht löschen



ok danke erstmal, das wird jetzt erstmal dauern. Und ja ich hab Windows XP.
__________________

Alt 20.08.2008, 08:43   #4
Taddl
 
Kann Trojaner nicht löschen - Standard

Kann Trojaner nicht löschen



alsooo ich poste mal einfach alles was die programme ausgespuckt haben in der hoffnung das ich das jetzt richtig gemacht habe




ComboFix:





Code:
ATTFilter
 ComboFix 08-08-18.05 - julian2 2008-08-20  8:23:48.1 - FAT32x86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1241 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\julian2\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\julian2\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\License Agreement.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Uninstall.lnk
C:\Dokumente und Einstellungen\Julian\UserData
C:\Dokumente und Einstellungen\Julian\UserData\6F652ZAH\oXMLStore[1].xml
C:\Dokumente und Einstellungen\Julian\UserData\index.dat
C:\Dokumente und Einstellungen\Julian\UserData\ULA38B0B\IsOnIE6tbPromo[1].xml
C:\Dokumente und Einstellungen\julian2\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\Dokumente und Einstellungen\julian3\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\Dokumente und Einstellungen\julian4\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\jestertb.dll
C:\WINDOWS\system32\BReWErS.dll
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\rqRjIbXp.dll
C:\WINDOWS\system32\tuvWomKc.dll

----- BITS: Eventuell infizierte Webseiten -----

http://www.freewebtown.com
http://furqoun.funpic.org
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_fci


(((((((((((((((((((((((   Dateien erstellt von 2008-07-20 bis 2008-08-20  ))))))))))))))))))))))))))))))
.

2008-08-20 07:57 . 2008-08-20 07:57	61,440	--a------	C:\WINDOWS\system32\drivers\lkddzic.sys
2008-08-20 07:25 . 2008-08-20 07:25	<DIR>	d--------	C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\Malwarebytes
2008-08-20 07:25 . 2008-08-20 07:25	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-20 07:25 . 2008-08-17 15:01	38,472	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-20 07:25 . 2008-08-17 15:01	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-08-19 06:37 . 2008-08-19 06:37	<DIR>	dr-------	C:\Dokumente und Einstellungen\julian4\Eigene Dateien
2008-08-19 06:37 . 2008-08-19 06:55	202	--a------	C:\Dokumente und Einstellungen\julian4\IEImageRR.dll
2008-08-19 06:36 . 2006-07-14 22:08	<DIR>	d--h-----	C:\Dokumente und Einstellungen\julian4\Vorlagen
2008-08-19 06:36 . 2006-07-14 22:08	<DIR>	dr-------	C:\Dokumente und Einstellungen\julian4\Startmen
2008-08-19 06:36 . 2006-07-14 22:08	<DIR>	d--h-----	C:\Dokumente und Einstellungen\julian4\Netzwerkumgebung
2008-08-19 06:36 . 2006-07-14 22:08	<DIR>	d--h-----	C:\Dokumente und Einstellungen\julian4\Lokale Einstellungen
2008-08-19 06:36 . 2008-08-19 06:37	<DIR>	dr-------	C:\Dokumente und Einstellungen\julian4\Favoriten
2008-08-19 06:36 . 2006-07-14 22:08	<DIR>	d--h-----	C:\Dokumente und Einstellungen\julian4\Druckumgebung
2008-08-19 06:36 . 2006-07-14 22:08	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\julian4\Anwendungsdaten
2008-08-19 06:36 . 2008-08-19 06:36	<DIR>	d--------	C:\Dokumente und Einstellungen\julian4
2008-08-18 04:06 . 2008-08-18 04:06	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\SecuROM
2008-08-17 12:08 . 2008-08-17 12:08	<DIR>	d--------	C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\dvdcss
2008-08-15 07:37 . 2008-08-15 07:37	<DIR>	d--hs----	C:\FOUND.008
2008-08-15 05:31 . 2008-08-15 05:31	<DIR>	d--h-----	C:\WINDOWS\system32\GroupPolicy
2008-08-15 01:39 . 2008-08-15 01:39	<DIR>	d--hs----	C:\FOUND.007
2008-08-15 01:26 . 2008-08-15 01:26	<DIR>	dr-------	C:\Dokumente und Einstellungen\julian3\Eigene Dateien
2008-08-15 01:26 . 2008-08-15 02:50	202	--a------	C:\Dokumente und Einstellungen\julian3\IEImageRR.dll
2008-08-15 01:25 . 2006-07-14 22:08	<DIR>	d--h-----	C:\Dokumente und Einstellungen\julian3\Vorlagen
2008-08-15 01:25 . 2006-07-14 22:08	<DIR>	dr-------	C:\Dokumente und Einstellungen\julian3\Startmen
2008-08-15 01:25 . 2006-07-14 22:08	<DIR>	d--h-----	C:\Dokumente und Einstellungen\julian3\Netzwerkumgebung
2008-08-15 01:25 . 2006-07-14 22:08	<DIR>	d--h-----	C:\Dokumente und Einstellungen\julian3\Lokale Einstellungen
2008-08-15 01:25 . 2008-08-15 01:26	<DIR>	dr-------	C:\Dokumente und Einstellungen\julian3\Favoriten
2008-08-15 01:25 . 2006-07-14 22:08	<DIR>	d--h-----	C:\Dokumente und Einstellungen\julian3\Druckumgebung
2008-08-15 01:25 . 2006-07-14 22:08	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\julian3\Anwendungsdaten
2008-08-15 01:25 . 2008-08-15 01:25	<DIR>	d--------	C:\Dokumente und Einstellungen\julian3
2008-08-15 01:16 . 2008-08-15 01:16	<DIR>	d--hs----	C:\FOUND.006
2008-08-14 02:53 . 2008-08-14 02:53	<DIR>	d--------	C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\DivX
2008-08-14 02:53 . 2008-08-14 02:53	<DIR>	d--------	C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\Ahead
2008-08-11 23:03 . 2008-08-11 23:03	<DIR>	d--hs----	C:\FOUND.005
2008-08-11 20:25 . 2008-08-11 20:25	<DIR>	d--------	C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\ICQ
2008-08-10 15:59 . 2008-08-20 08:00	202	--a------	C:\Dokumente und Einstellungen\julian2\IEImageRR.dll
2008-08-09 18:33 . 2008-08-09 18:33	<DIR>	d--------	C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\vlc
2008-08-09 13:49 . 2008-08-09 13:49	<DIR>	d--------	C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\Xfire
2008-08-09 13:42 . 2008-08-09 13:42	<DIR>	d--------	C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\InstallShield
2008-08-09 13:41 . 2008-08-10 15:58	<DIR>	dr-------	C:\Dokumente und Einstellungen\julian2\Eigene Dateien
2008-08-09 13:40 . 2006-07-14 22:08	<DIR>	dr-------	C:\Dokumente und Einstellungen\julian2\Startmen
2008-08-09 13:40 . 2006-07-14 22:08	<DIR>	d--h-----	C:\Dokumente und Einstellungen\julian2\Netzwerkumgebung
2008-08-09 13:40 . 2006-07-14 22:08	<DIR>	d--h-----	C:\Dokumente und Einstellungen\julian2\Lokale Einstellungen
2008-08-09 13:40 . 2008-08-10 15:58	<DIR>	dr-------	C:\Dokumente und Einstellungen\julian2\Favoriten
2008-08-09 13:40 . 2006-07-14 22:08	<DIR>	d--h-----	C:\Dokumente und Einstellungen\julian2\Druckumgebung
2008-08-09 13:40 . 2006-07-14 22:08	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\julian2\Anwendungsdaten
2008-08-09 13:40 . 2008-08-09 13:40	<DIR>	d--------	C:\Dokumente und Einstellungen\julian2
2008-08-08 13:42 . 2008-08-08 13:42	<DIR>	d--hs----	C:\FOUND.004
2008-08-07 18:08 . 2008-08-07 18:08	29	--a------	C:\WINDOWS\system32\yogshetw.tmp
2008-07-31 18:21 . 2008-07-31 18:21	126,976	--a------	C:\WINDOWS\War3Unin.exe
2008-07-29 12:42 . 2008-05-23 00:22	129,784	---------	C:\WINDOWS\system32\pxafs.dll
2008-07-29 12:42 . 2008-05-23 00:22	9,464	---------	C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-07-29 12:42 . 2008-05-23 00:22	9,336	---------	C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-07-28 16:00 . 2001-08-18 04:53	8,192	--a------	C:\WINDOWS\system32\kbdkor.dll
2008-07-28 16:00 . 2001-08-18 04:53	8,192	--a------	C:\WINDOWS\system32\dllcache\kbdkor.dll
2008-07-28 15:59 . 2001-08-18 04:53	8,704	--a------	C:\WINDOWS\system32\kbdjpn.dll
2008-07-28 15:59 . 2001-08-18 04:53	8,704	--a------	C:\WINDOWS\system32\dllcache\kbdjpn.dll
2008-07-28 15:59 . 2001-08-17 14:55	6,144	--a------	C:\WINDOWS\system32\kbd106.dll
2008-07-28 15:59 . 2001-08-17 14:55	6,144	--a------	C:\WINDOWS\system32\kbd101c.dll
2008-07-28 15:59 . 2001-08-17 14:55	6,144	--a------	C:\WINDOWS\system32\kbd101b.dll
2008-07-28 15:59 . 2001-08-17 14:55	6,144	--a------	C:\WINDOWS\system32\dllcache\kbd106.dll
2008-07-28 15:59 . 2001-08-17 14:55	6,144	--a------	C:\WINDOWS\system32\dllcache\kbd101c.dll
2008-07-28 15:59 . 2001-08-17 14:55	6,144	--a------	C:\WINDOWS\system32\dllcache\kbd101b.dll
2008-07-28 15:59 . 2001-08-17 14:55	5,632	--a------	C:\WINDOWS\system32\kbd103.dll
2008-07-28 15:59 . 2001-08-17 14:55	5,632	--a------	C:\WINDOWS\system32\dllcache\kbd103.dll
2008-07-28 12:11 . 2008-07-28 12:11	<DIR>	d--hs----	C:\FOUND.003
2008-07-23 13:48 . 2008-07-23 13:48	<DIR>	d--hs----	C:\FOUND.002
2008-07-20 10:51 . 2008-07-20 10:52	<DIR>	d--------	C:\Programme\Avira
2008-07-20 10:47 . 2008-07-20 10:47	0	--ah-----	C:\WINDOWS\BIT1D4.tmp
2008-07-20 10:47 . 2008-07-20 10:47	0	--ah-----	C:\WINDOWS\BIT1D3.tmp
2008-07-20 10:47 . 2008-07-20 10:47	0	--ah-----	C:\WINDOWS\BIT1D2.tmp
2008-07-20 10:47 . 2008-07-20 10:47	0	--ah-----	C:\WINDOWS\BIT1D1.tmp
2008-07-20 10:47 . 2008-07-20 10:47	0	--ah-----	C:\WINDOWS\BIT1D0.tmp
2008-07-20 10:47 . 2008-07-20 10:47	0	--ah-----	C:\WINDOWS\BIT1CF.tmp
2008-07-20 10:47 . 2008-07-20 10:47	0	--ah-----	C:\WINDOWS\BIT1CE.tmp
2008-07-20 10:47 . 2008-07-20 10:47	0	--ah-----	C:\WINDOWS\BIT1CD.tmp
2008-07-20 10:47 . 2008-07-20 10:47	0	--ah-----	C:\WINDOWS\BIT1CC.tmp
2008-07-20 10:46 . 2008-07-20 10:46	0	--ah-----	C:\WINDOWS\BIT1CB.tmp
2008-07-20 10:46 . 2008-07-20 10:46	0	--ah-----	C:\WINDOWS\BIT1CA.tmp
2008-07-20 10:46 . 2008-07-20 10:46	0	--ah-----	C:\WINDOWS\BIT1C9.tmp
2008-07-20 10:46 . 2008-07-20 10:46	0	--ah-----	C:\WINDOWS\BIT1C8.tmp
2008-07-20 10:45 . 2008-07-20 10:45	0	--ah-----	C:\WINDOWS\BIT1C7.tmp
2008-07-20 10:45 . 2008-07-20 10:45	0	--ah-----	C:\WINDOWS\BIT1C6.tmp
2008-07-20 10:43 . 2008-07-20 10:44	0	--ah-----	C:\WINDOWS\BIT19B.tmp
2008-07-20 10:42 . 2008-07-20 10:42	0	--ah-----	C:\WINDOWS\BITFF.tmp
2008-07-20 10:41 . 2008-07-20 10:42	0	--ah-----	C:\WINDOWS\BITE7.tmp
2008-07-20 10:40 . 2008-07-20 10:41	0	--ah-----	C:\WINDOWS\BIT99.tmp
2008-07-20 10:39 . 2008-07-20 10:39	0	--ah-----	C:\WINDOWS\BIT6B.tmp
2008-07-20 10:38 . 2008-07-20 10:39	0	--ah-----	C:\WINDOWS\BIT52.tmp
2008-07-20 10:38 . 2008-07-20 10:38	0	--ah-----	C:\WINDOWS\BIT51.tmp
2008-07-20 10:38 . 2008-07-20 10:38	0	--ah-----	C:\WINDOWS\BIT50.tmp
2008-07-20 10:38 . 2008-07-20 10:38	0	--ah-----	C:\WINDOWS\BIT4F.tmp
2008-07-20 10:38 . 2008-07-20 10:38	0	--ah-----	C:\WINDOWS\BIT4E.tmp
2008-07-20 10:38 . 2008-07-20 10:46	0	--ah-----	C:\WINDOWS\BIT4D.tmp
2008-07-20 10:37 . 2008-07-20 10:41	0	--ah-----	C:\WINDOWS\BIT43.tmp
2008-07-20 10:37 . 2008-07-20 10:40	0	--ah-----	C:\WINDOWS\BIT41.tmp
2008-07-20 10:37 . 2008-07-20 10:40	0	--ah-----	C:\WINDOWS\BIT40.tmp
2008-07-20 10:36 . 2008-07-20 10:37	0	--ah-----	C:\WINDOWS\BIT2F.tmp
2008-07-20 10:36 . 2008-07-20 10:36	0	--ah-----	C:\WINDOWS\BIT2E.tmp
2008-07-20 10:36 . 2008-07-20 10:36	0	--ah-----	C:\WINDOWS\BIT2D.tmp
2008-07-20 00:05 . 2008-07-20 00:06	186,367	--ah-----	C:\WINDOWS\BIT1B5.tmp
2008-07-20 00:05 . 2008-07-20 10:36	0	--ah-----	C:\WINDOWS\BIT1BB.tmp
2008-07-20 00:05 . 2008-07-20 00:06	0	--ah-----	C:\WINDOWS\BIT1B7.tmp
2008-07-20 00:05 . 2008-07-20 00:06	0	--ah-----	C:\WINDOWS\BIT1B4.tmp

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-06 19:38	107,888	----a-w	C:\WINDOWS\system32\CmdLineExt.dll
2008-07-31 16:21	2,829	----a-w	C:\WINDOWS\War3Unin.pif
2008-07-20 08:35	4,317,184	----a-w	C:\WINDOWS\system32\IEImageRR.dll
2008-07-19 20:03	186,367	---ha-w	C:\WINDOWS\BIT4.tmp
2008-07-19 19:53	186,367	---ha-w	C:\WINDOWS\BIT1B1.tmp
2008-07-19 11:05	---------	d-----w	C:\Programme\Ahead
2008-07-12 23:10	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2008-07-12 23:09	---------	d-----w	C:\Programme\Gemeinsame Dateien\AVSMedia
2008-07-12 23:09	---------	d-----w	C:\Programme\AVS4YOU
2008-07-09 13:36	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
2008-07-09 13:05	68,096	----a-w	C:\WINDOWS\ScUnin.exe
2008-07-02 12:16	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2008-07-02 12:13	---------	d-----w	C:\Programme\ICQ6
2008-06-27 12:04	---------	d-----w	C:\Programme\MSXML 4.0
2008-05-30 23:22	823,296	----a-w	C:\WINDOWS\system32\divx_xx0c.dll
2008-05-30 23:22	823,296	----a-w	C:\WINDOWS\system32\divx_xx07.dll
2008-05-30 23:22	815,104	----a-w	C:\WINDOWS\system32\divx_xx0a.dll
2008-05-30 23:22	802,816	----a-w	C:\WINDOWS\system32\divx_xx11.dll
2008-05-30 23:22	683,520	----a-w	C:\WINDOWS\system32\DivX.dll
2008-05-30 23:22	593,920	----a-w	C:\WINDOWS\system32\dpuGUI11.dll
2008-05-30 23:22	57,344	----a-w	C:\WINDOWS\system32\dpv11.dll
2008-05-30 23:22	53,248	----a-w	C:\WINDOWS\system32\dpuGUI10.dll
2008-05-30 23:22	344,064	----a-w	C:\WINDOWS\system32\dpus11.dll
2008-05-30 23:22	294,912	----a-w	C:\WINDOWS\system32\dpu11.dll
2008-05-30 23:22	294,912	----a-w	C:\WINDOWS\system32\dpu10.dll
2008-05-22 22:22	524,288	----a-w	C:\WINDOWS\system32\DivXsm.exe
2008-05-22 22:22	3,596,288	----a-w	C:\WINDOWS\system32\qt-dx331.dll
2008-05-22 22:22	120,056	------w	C:\WINDOWS\system32\pxcpyi64.exe
2008-05-22 22:22	118,520	------w	C:\WINDOWS\system32\pxinsi64.exe
2008-05-22 22:20	200,704	----a-w	C:\WINDOWS\system32\ssldivx.dll
2008-05-22 22:20	1,044,480	----a-w	C:\WINDOWS\system32\libdivx.dll
2008-05-22 22:19	81,920	----a-w	C:\WINDOWS\system32\dpl100.dll
2008-05-22 22:19	196,608	----a-w	C:\WINDOWS\system32\dtu100.dll
2008-05-22 22:19	161,096	----a-w	C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-05-22 22:18	12,288	----a-w	C:\WINDOWS\system32\DivXWMPExtType.dll
2001-11-23 05:08	712,704	----a-r	C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2008-07-19 19:52	259	----a-w	C:\Programme\internet explorer\plugins\IEImageRR.dll
2006-02-17 19:05	1,682	--sha-w	C:\WINDOWS\system32\KGyGaAvL.sys
2006-02-17 19:05	56	--sh--r	C:\WINDOWS\system32\299B1E2D1C.sys
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 12:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 01:11 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43 7630848]
"DXM6Patch_981116"="C:\WINDOWS\p_981116.exe" [1998-11-30 18:04 497376]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-08-11 21:43 86016]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 22:32 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 22:32 455168]
"Internet Explorer Content Server"="C:\Programme\Internet Explorer\PLUGINS\cssrv.exe" [2008-07-20 10:34 159422]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"nwiz"="nwiz.exe" [2006-08-11 21:43 1519616 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 12:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoChangeAnimation"= 1 (0x1)
"NoStrCmpLogical"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
2001-12-21 00:34 24576 D:\Programme\AlienGUIse\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\WINDOWS\sysloader32v.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.VDOM"= vdowave.drv
"VIDC.TR20"= tr2032.dll
"msacm.voxacm119"= vdk32119.acm
"vidc.vivo"= ivvideo.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages	REG_MULTI_SZ   	msv1_0 C:\WINDOWS\system32\tuvWomKc

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NETGEAR WG111v2 Smart Wizard.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NETGEAR WG111v2 Smart Wizard.lnk
backup=C:\WINDOWS\pss\NETGEAR WG111v2 Smart Wizard.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
--a------ 2004-03-12 23:43 81920 D:\Programme\D-Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GameXL]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 2006-09-10 22:56 218032 C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
--a------ 2006-09-10 22:56 86960 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
-ra------ 2003-03-20 09:21 1855488 C:\WINDOWS\mixer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"W32Time"=2 (0x2)
"StarWindServiceAE"=2 (0x2)
"PnkBstrB"=2 (0x2)
"PnkBstrA"=2 (0x2)
"iPod Service"=3 (0x3)
"IDriverT"=3 (0x3)
"ICQ Service"=2 (0x2)
"helpsvc"=2 (0x2)
"Eventlog"=2 (0x2)
"Alerter"=2 (0x2)
"6to4"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\THQ\\Dawn Of War\\W40k.exe"=
"D:\\Programme\\Warcraft III\\Warcraft III.exe"=
"D:\\Programme\\LucasArts\\Star Wars Battlefront II\\GameData\\battlefrontII.exe"=
"D:\\Programme\\Xfire\\Xfire.exe"=
"D:\\System\\Unreal.exe"=
"D:\\Programme\\LittleFighter2\\LF2_v1.9\\lf2.exe"=
"D:\\Spiele\\FEAR\\fpupdate.exe"=
"C:\\WINDOWS\\System32\\dplaysvr.exe"=
"D:\\Spiele\\Cossacks - Back To War\\dmcr.exe"=
"D:\\Programme\\TrackMania United\\TmUnited.exe"=
"D:\\Programme\\Metin2_Germany\\metin2.bin"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys [2004-03-12 22:41]
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys [2004-03-12 22:41]
S1 3ac25d09;3ac25d09;C:\WINDOWS\system32\drivers\3ac25d09.sys []
S3 epstw2k;SCM Parallelanschluss-SCSI-Treiber;C:\WINDOWS\system32\DRIVERS\epstw2k.sys [2001-08-17 13:50]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2006-03-27 17:53]
S3 scsiscan;SCSI-Scannertreiber;C:\WINDOWS\system32\DRIVERS\scsiscan.sys [2001-08-17 13:53]
S4 ICQ Service;ICQ Service;C:\Programme\ICQ6Toolbar\ICQ Service.exe []
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-Run-resfixmsi - C:\WINDOWS\resfix32v.exe
MSConfigStartUp-QuickTime Task - C:\Programme\QuickTime\qttask.exe
MSConfigStartUp-Skype - C:\Programme\Skype\Phone\Skype.exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\Mozilla\Firefox\Profiles\eaude57f.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-20 08:28:04
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

C:\Programme\Internet Explorer\PLUGINS\cssrv.exe [1968] 0x89C09C88

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\RtlGina2.dll
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\UAService7.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-20  8:30:00 - PC wurde neu gestartet [julian2]
ComboFix-quarantined-files.txt  2008-08-20 06:29:58

Pre-Run: 1,071,841,280 Bytes frei
Post-Run: 3,304,366,080 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

321
         

Geändert von Taddl (20.08.2008 um 08:52 Uhr)

Alt 20.08.2008, 08:44   #5
Taddl
 
Kann Trojaner nicht löschen - Standard

Kann Trojaner nicht löschen



HJTI:



Code:
ATTFilter
 Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 07:10:56, on 20.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\VideoLAN\VLC\vlc.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

O1 - Hosts: 85.214.89.232 status.wow-europe.com
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (file missing)
O3 - Toolbar: Mario Forever Toolbar - {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} - C:\Programme\Mario Forever Toolbar\v3.2.0.0\MarioForever_Toolbar.dll (file missing)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [resfixmsi] C:\WINDOWS\resfix32v.exe
O4 - HKLM\..\Run: [Internet Explorer Content Server] C:\Programme\Internet Explorer\PLUGINS\cssrv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1535.exe 61A847B5BBF7281337983D466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKLM\..\Run: [webHancer Agent] C:\Programme\webHancer\Programs\whagent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O10 - Broken Internet access because of LSP chain gap (#1 in chain of 36 missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\sysloader32v.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\icf.exe.exe:exe.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

--
End of file - 5021 bytes
         



mbr:



Code:
ATTFilter
 Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         


fsbl:
Code:
ATTFilter
 08/20/08 07:18:33 [Info]: BlackLight Engine 1.0.70 initialized
08/20/08 07:18:33 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/20/08 07:18:33 [Note]: 7019 4
08/20/08 07:18:33 [Note]: 7005 0
08/20/08 07:18:33 [Error]: 6027 1450
08/20/08 07:18:33 [Error]: 6002 0
08/20/08 07:18:37 [Note]: 7006 0
08/20/08 07:18:37 [Note]: 7011 2004
08/20/08 07:18:37 [Note]: 7035 0
08/20/08 07:18:37 [Note]: 8001 2
08/20/08 07:18:37 [Note]: 7024 3
08/20/08 07:18:37 [Info]: Hidden process: C:\Programme\Internet Explorer\PLUGINS\cssrv.exe
08/20/08 07:18:39 [Note]: FSRAW library version 1.7.1024
08/20/08 07:18:58 [Note]: 2000 1012
08/20/08 07:18:58 [Note]: 2000 1012
08/20/08 07:18:58 [Note]: 2000 1012
08/20/08 07:18:58 [Note]: 2000 1012
08/20/08 07:18:58 [Note]: 7002 0
08/20/08 07:19:31 [Note]: 7007 0
         



mbam:



Code:
ATTFilter
 Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1062
Windows 5.1.2600 Service Pack 2

07:56:44 20.08.2008
mbam-log-08-20-2008 (07-56-28).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 140086
Laufzeit: 29 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 22
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 25
Infizierte Dateien: 39

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\tuvWomKc.dll (Trojan.Vundo.H) -> No action taken.
C:\Programme\webHancer\Programs\whiehlpr.dll (Adware.WebHancer) -> No action taken.
C:\WINDOWS\system32\rqRjIbXp.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{276735ae-e736-4669-be08-f5e8f425a819} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ef94f36b-384d-4008-8a5f-c9f6324b825f} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rqrjibxp (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\whiehelperobj.whiehelperobj.1 (Adware.WebHancer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{276735ae-e736-4669-be08-f5e8f425a819} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcrr1j0e93l (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\rhcrr1j0e93l (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{c89435b0-cdfe-11d3-976a-00e02913a9e0} (Adware.WebHancer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webHancer Agent (Adware.WebHancer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ef94f36b-384d-4008-8a5f-c9f6324b825f} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fci (Rootkit.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c900b400-cdfe-11d3-976a-00e02913a9e0} (Adware.WebHancer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c900b400-cdfe-11d3-976a-00e02913a9e0} (Adware.WebHancer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ICF (Rootkit.Agent) -> No action taken.
HKEY_CLASSES_ROOT\whiehelperobj.whiehelperobj (Adware.WebHancer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\webHancer (Adware.WebHancer) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{c8cb3870-cdfe-11d3-976a-00e02913a9e0} (Adware.WebHancer) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\runner1 (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{ef94f36b-384d-4008-8a5f-c9f6324b825f} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\webhancer agent (Adware.Webhancer) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\tuvwomkc  -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\tuvwomkc -> No action taken.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\rhcrr1j0e93l\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\rhcrr1j0e93l\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\rhcrr1j0e93l (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Packages (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\rhcrr1j0e93l (Rogue.Multiple) -> No action taken.
C:\Programme\webHancer\Programs (Adware.Webhancer) -> No action taken.
C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\rhcrr1j0e93l\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Microsoft\dtsc (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\rhcrr1j0e93l\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Packages (Rogue.Multiple) -> No action taken.
C:\Programme\webHancer (Adware.Webhancer) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\tuvWomKc.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\rqRjIbXp.dll (Trojan.Vundo.H) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6T7WD0RE\sys[1].exe (Adware.Webhancer) -> No action taken.
C:\WINDOWS\system32\cKmoWvut.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\cKmoWvut.ini2 (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\byXPHwUm.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\geBuuVpn.dll (Trojan.Vundo) -> No action taken.
C:\.protected (Rogue.Multiple) -> No action taken.
C:\WINDOWS\system32\efcBsTMc.dll (Trojan.Vundo) -> No action taken.
C:\Programme\webHancer\Programs\whiehlpr.dll (Adware.WebHancer) -> No action taken.
C:\WINDOWS\system32\nnnnLeBt.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ssqOETnO.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\byXNddEt.dll (Trojan.Vundo) -> No action taken.
C:\Programme\webHancer\Programs\license.txt (Adware.Webhancer) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Microsoft\dtsc\s (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\awttqopo.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ljJYRKCs.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ljJDSKCr.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\jkkHYrRl.dll (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NRX77X8W\rkdnxghe[1].txt (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\geBqOfdc.dll (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> No action taken.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6T7WD0RE\rkdnxghe[1].txt (Trojan.Downloader) -> No action taken.
C:\Programme\webHancer\Programs\whagent.ini (Adware.Webhancer) -> No action taken.
C:\WINDOWS\system32\ljJDUmmJ.dll (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> No action taken.
C:\WINDOWS\system32\phcvr1j0e93l.bmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\blphcvr1j0e93l.scr (Trojan.FakeAlert) -> No action taken.
C:\Programme\webHancer\Programs\whinstaller.exe (Adware.Webhancer) -> No action taken.
C:\Programme\webHancer\Programs\sporder.dll (Adware.Webhancer) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temp\sys.exe (Adware.Webhancer) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> No action taken.
C:\Programme\webHancer\Programs\whagent.exe (Adware.Webhancer) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temp\CmdLineExt02.dll (Trojan.Agent) -> No action taken.
C:\Programme\webHancer\Programs\readme.txt (Adware.Webhancer) -> No action taken.
C:\Programme\webHancer\Programs\webhdll.dll (Adware.Webhancer) -> No action taken.
         
ich habe den Rechner dan nochmal mit Antivir gescannt, und der findet keine Viren mehr. Allerdings kann ich immer noch keine Verbindung mit dem Internet aufbauen auch nicht über ein LAN Kabel mit anderen PCs, es kommt dann immer die meldung ich soll meine ip erneuern.


Geändert von Taddl (20.08.2008 um 08:53 Uhr)

Alt 20.08.2008, 09:42   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Kann Trojaner nicht löschen - Ausrufezeichen

Kann Trojaner nicht löschen



Code:
ATTFilter
08/20/08 07:18:37 [Info]: Hidden process: C:\Programme\Internet Explorer\PLUGINS\cssrv.exe
         
Sowas hatte ich schon befürchtet - Blacklight hat einen versteckten Prozess (Rootkit, Backdoor) im System erkannt. Der wird mit konventionellen Mitteln nicht sichtbar sein, und es ist sehr fraglich, ob das Entfernen dieses einen Prozesse was bringt.
Dein System ist kompromittiert und sollte daher neu aufgesetzt werden.
__________________
--> Kann Trojaner nicht löschen

Alt 20.08.2008, 11:07   #7
Taddl
 
Kann Trojaner nicht löschen - Standard

Kann Trojaner nicht löschen



ok vielen dank für die schnelle hilfe ich werds dan mal mit der systemwiederherstellung versuchen

Alt 20.08.2008, 11:29   #8
Taddl
 
Kann Trojaner nicht löschen - Standard

Kann Trojaner nicht löschen



also ich hab jetzt es mit dem system wiederherstellungsteil das im leitfaden von combofix angeboten wird versucht. Dan ist allerdings die meldung gekommen das viren auf der festplatte sind und ich neu starten soll, allerdings funktioniert jetzt garnichts mehr immer wen der Bildschirm kommt wo ich zwischen normal windows und dem recovery teil auswählen soll startet er einfach neu. Also wenn ich mir jetzt eine Windows CD kaufen würde bräuchte ich dann eine neue Festplatte?? oder kann ich das problem irgendwie aders lösen mit Bios oder so?

Alt 20.08.2008, 11:38   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Kann Trojaner nicht löschen - Icon32

Kann Trojaner nicht löschen



Nix Systemwiederherstellung - das ist kein Neuaufsetzen und die SWH bringt kein vertrauenswürdiges System wieder zurück.

Wenn Du Dir ne Windows-CD besorgst bzw ne XP-Lizenz erwirbst, kannst Du mit der Windows-Setup-CD den PC booten und dann neu aufsetzen. In der Anleitung für die Windows-Neuinstallation ist das beschrieben, im Laufe des Setups kannst Du Deine jetzige Platte formatieren, Partitionen löschen und neu erstellen. Du brauchst also keine neue Platte zu kaufen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.08.2008, 12:06   #10
Taddl
 
Kann Trojaner nicht löschen - Standard

Kann Trojaner nicht löschen



ok danke jetzt muss ich nur noch irgendwie an geld komme

Alt 20.08.2008, 12:09   #11
Silent sharK
 

Kann Trojaner nicht löschen - Standard

Kann Trojaner nicht löschen



Wieso geld?
Du brauchst nur den Lizenz-Key, der mit einem Hologrammsticker auf deinem Rechner irgendwo klebt und das hier.

mfg
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 20.08.2008, 12:20   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Kann Trojaner nicht löschen - Icon32

Kann Trojaner nicht löschen



Zitat:
Zitat von Dark Viruz Beitrag anzeigen
Wieso geld?
Du brauchst nur den Lizenz-Key, der mit einem Hologrammsticker auf deinem Rechner irgendwo klebt und das hier.

mfg
Lizenzkey ist schonmal gut. Den kann man notfalls auch mit dem Keyfinder auslesen. Allerdings halte ich das für keine gute Idee, eine Windows-CD zu von und mit seinem verseuchten System zu basteln. Dann lieber eine CD ausleihen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.08.2008, 12:48   #13
Silent sharK
 

Kann Trojaner nicht löschen - Standard

Kann Trojaner nicht löschen



Zitat:
Dann lieber eine CD ausleihen.
Naklar, hatt ich nicht bedacht.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 24.08.2008, 16:30   #14
Taddl
 
Kann Trojaner nicht löschen - Standard

Kann Trojaner nicht löschen



neue frage alsoo der virus oder was das ist sperrt irgendwie meine ip Adresse gibt es ein programm mit dem ich die ip erneuern kann? Ich das mal gegooglet aber nichts gefunden denn Prozess kann ich nicht löschen, ich hab einfach das PLUGINS\cssrv.exe mal gelöscht hatt aber nichts gebracht. Kann linux mir da helfen? Ich seh da ja auch die Windows Dateien.und wenn ich bei der Console ipconfig/renew eingeb kommt die Fehlermeldung: Bei Aktualisieren der Schnittstelle "Drahtlose Netzwerkverbindungen10" ist folgender Fehler Aufgetreten: Der RPC-Server ist nicht verfügbar.

Geändert von Taddl (24.08.2008 um 17:19 Uhr)

Alt 24.08.2008, 16:58   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Kann Trojaner nicht löschen - Icon32

Kann Trojaner nicht löschen



Zitat:
Zitat von Taddl Beitrag anzeigen
neue frage alsoo der virus oder was das ist sperrt irgendwie meine ip Adresse gibt es ein programm mit dem ich die ip erneuern kann?
Das ist Herumdoktorn an Symptomen! Wozu mußt Du mit dem versifften PC noch ins Internet? Sicher Deine Daten und setz dann sauber neu auf.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Kann Trojaner nicht löschen
antivir, antivir guard, brief, datei, desktop, ellung, explorer, folge, frage, gelöscht, icons, icons weg, internet, keine konnektivität, löschen, netgear, netzwerk, neustart, problem, programm, spam, spyware, stick, systemwiederherstellung, taskleiste, telekom, trojaner, viren, wireless




Ähnliche Themen: Kann Trojaner nicht löschen


  1. Avira kann Trojaner nicht löschen!
    Log-Analyse und Auswertung - 26.09.2013 (21)
  2. AdAware kann Trojaner nicht löschen !!!
    Plagegeister aller Art und deren Bekämpfung - 22.07.2009 (1)
  3. Kann Backdoor Trojaner nicht löschen !
    Plagegeister aller Art und deren Bekämpfung - 30.03.2009 (5)
  4. Kann trojaner nicht löschen
    Mülltonne - 22.11.2008 (0)
  5. Trojaner - Anti Vir kann ihn nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 01.09.2008 (14)
  6. Kann Trojaner Pakes Den 16 nicht löschen!
    Plagegeister aller Art und deren Bekämpfung - 06.07.2008 (14)
  7. Trojaner am Desktop, kann ihn nicht löschen!!
    Plagegeister aller Art und deren Bekämpfung - 20.03.2008 (3)
  8. Kann Trojaner Vundo nicht löschen
    Log-Analyse und Auswertung - 02.01.2008 (4)
  9. Kann Trojaner nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 22.11.2007 (3)
  10. kann Trojaner nicht löschen
    Log-Analyse und Auswertung - 17.06.2007 (9)
  11. Hilfe kann Trojaner nicht löschen....
    Log-Analyse und Auswertung - 02.03.2007 (3)
  12. Kann Trojaner nicht löschen...Hilfe!!
    Plagegeister aller Art und deren Bekämpfung - 06.02.2006 (4)
  13. Kann Trojaner nicht löschen
    Log-Analyse und Auswertung - 09.01.2006 (10)
  14. hilfe! kann den trojaner nicht löschen!
    Plagegeister aller Art und deren Bekämpfung - 24.11.2005 (5)
  15. Trojaner.... kann ihn aber nicht finden, bzw. löschen!
    Log-Analyse und Auswertung - 22.11.2005 (3)
  16. kann versch. trojaner nicht löschen Sicherung meiner Dateien durch Nero geht nicht
    Plagegeister aller Art und deren Bekämpfung - 24.06.2005 (0)
  17. Kann Trojaner nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 12.11.2004 (10)

Zum Thema Kann Trojaner nicht löschen - hi Ich habe folgendes Problem ich habe mir eine Datei aus dem Internet heruntergeladen. Nachdem ich ihn das nächstemal hochgefahren habe waren meine Desktop Icons weg die Taskleiste fehlte und - Kann Trojaner nicht löschen...
Archiv
Du betrachtest: Kann Trojaner nicht löschen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.