Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojan.Adclicker & Igfxtray.exe - Wie entfernen?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 20.09.2007, 11:50   #1
Bibilieli
 
Trojan.Adclicker & Igfxtray.exe - Wie entfernen? - Standard

Trojan.Adclicker & Igfxtray.exe - Wie entfernen?



Hallo miteinander!

Ich hab mal wieder ein kleines Problem: Der Laptop meines Bruders hat sich einen Virus geholt mit folgender Bezeichnung:

Art des Virus: Trojan.Adclicker
Infizierte Datei: Windows\System32\igftle.dll

Nebenbei habe ich noch den Prozess "igfxtray.exe" gefunden. Im Hijackthis - Forum steht dass dies ein Trojaner sei (zusammengehörend?).

Ausserdem ist auch folgendes Virus aufgetaucht: Trojan.vundo

Ich habe schon verschiedenste Dinge versucht, kann jedoch die Datei "Igftle.dll" nicht löschen (wie man es auf de Symantec Page empfiehlt - Trojan.Adclicker – Symantec.com)

Ich werde hier in kürzester Zeit noch mein Logfile posten damit ihr euch die Sache genauer anschauen könnt.

Vielen Dank für eure Hilfe!!

Bibilieli

Geändert von Bibilieli (20.09.2007 um 12:01 Uhr)

Alt 20.09.2007, 11:58   #2
Bibilieli
 
Trojan.Adclicker & Igfxtray.exe - Wie entfernen? - Standard

Trojan.Adclicker & Igfxtray.exe - Wie entfernen?



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:53:49, on 20.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Dokumente und Einstellungen\DK\Anwendungsdaten\tmp30.tmp.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NkbMonitor.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\UltimateZip 2007\uzqkst.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.6.0_01\bin\jucheck.exe
C:\Programme\Norton AntiVirus\NAVW32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\tmp31.tmp.dll
O2 - BHO: (no name) - {e2f55700-ab0b-4bbf-bd77-54236b22ec3d} - C:\WINDOWS\system32\igftle.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip 2007\uzqkst.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\NkbMonitor.exe
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54747687-3BFB-4B0F-A5D6-70A6300804FA}: NameServer = 212.90.199.2,164.128.36.34
O20 - AppInit_DLLs: c:\windows\system32\iiiijgf.dll
O20 - Winlogon Notify: igftle - C:\WINDOWS\SYSTEM32\igftle.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: DomainService - Unknown owner - C:\Dokumente und Einstellungen\DK\Anwendungsdaten\tmp30.tmp.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 9227 bytes



PS: Die Anwendung "igfxtray.exe" habe ich manuell beendet, drum erscheint sie evtl. nicht auf dem Logfile...
__________________


Alt 20.09.2007, 12:39   #3
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Adclicker & Igfxtray.exe - Wie entfernen? - Standard

Trojan.Adclicker & Igfxtray.exe - Wie entfernen?



Die igfxtray.exe gehört normalerweise zu einem Treiber von Intel.
Was den Vundo anbelangt, acker das hier mal ab:
Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.
Nach dem Neustart diese evtl. noch vorhandenen Einträge mit HijackThis fixen:

Zitat:
O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\tmp31.tmp.dll
O2 - BHO: (no name) - {e2f55700-ab0b-4bbf-bd77-54236b22ec3d} - C:\WINDOWS\system32\igftle.dll
O20 - AppInit_DLLs: c:\windows\system32\iiiijgf.dll
O20 - Winlogon Notify: igftle - C:\WINDOWS\SYSTEM32\igftle.dll
Mach danach ein Filelist:
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
__________________
__________________

Alt 20.09.2007, 15:19   #4
Bibilieli
 
Trojan.Adclicker & Igfxtray.exe - Wie entfernen? - Standard

Trojan.Adclicker & Igfxtray.exe - Wie entfernen?



Verzeichnis von C:\

20.09.2007 16:08 1'055'379'456 hiberfil.sys
20.09.2007 16:08 1'585'446'912 pagefile.sys
20.09.2007 15:52 370 VundoFix.txt
29.08.2007 15:31 211 boot.ini
28.08.2007 17:27 59'708'602 SYM_REGISTRY_BACKUP.reg

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68DB-D16F

Verzeichnis von C:\WINDOWS\system32

20.09.2007 16:11 12'608 dn68dbd16f.dat
20.09.2007 16:10 5 igftle.dns
20.09.2007 16:08 29'898 ikhcore.log
20.09.2007 12:34 2'550 Uninstall.ico
20.09.2007 12:34 1'406 Help.ico
20.09.2007 12:34 30'590 pavas.ico
19.09.2007 17:10 249'852 TZLog.log
19.09.2007 16:44 1'170 wpa.dbl
06.09.2007 04:50 17'474'680 MRT.exe
27.08.2007 15:27 136'664 FNTCACHE.DAT
24.08.2007 15:28 155'648 NeroCheck.exe
24.08.2007 15:28 155'648 igfxtray.exe
24.08.2007 15:28 118'784 hkcmd.exe
24.08.2007 15:28 0 asfiles.txt
24.08.2007 13:24 380'684 perfh009.dat
24.08.2007 13:24 53'098 perfc009.dat
24.08.2007 13:24 391'574 perfh007.dat
24.08.2007 13:24 63'976 perfc007.dat
24.08.2007 13:24 897'778 PerfStringBackup.INI
23.08.2007 14:56 64'646 tmpA.tmp.dll


Verzeichnis von C:\WINDOWS\Prefetch

20.09.2007 16:11 12'818 FIND.EXE-0EC32F1E.pf
20.09.2007 16:11 13'478 CMD.EXE-087B4001.pf
20.09.2007 16:11 46'172 UZIP.EXE-0473782D.pf
20.09.2007 16:10 134'252 IEXPLORE.EXE-2CA9778D.pf
20.09.2007 16:09 29'950 WMIPRVSE.EXE-28F301A9.pf
20.09.2007 16:09 21'356 MSMSGS.EXE-32066BA5.pf
20.09.2007 16:09 23'736 WUAUCLT.EXE-399A8E72.pf
20.09.2007 16:09 20'172 SVCHOST.EXE-3530F672.pf
20.09.2007 16:09 15'168 IPODSERVICE.EXE-233792DA.pf
20.09.2007 16:09 16'904 UZQKST.EXE-1A1975FC.pf
20.09.2007 16:09 20'646 VPNGUI.EXE-10986A0F.pf
20.09.2007 16:09 40'160 LUCOMS~1.EXE-02DB5950.pf
20.09.2007 16:09 15'028 OSA9.EXE-07EC1F61.pf
20.09.2007 16:09 16'924 NKBMONITOR.EXE-236165F0.pf
20.09.2007 16:09 15'422 CTFMON.EXE-0E17969B.pf
20.09.2007 16:09 13'244 READER_SL.EXE-36135169.pf
20.09.2007 16:09 12'374 JUSCHED.EXE-00566548.pf
20.09.2007 16:09 12'230 QTTASK.EXE-2D7EEF34.pf
20.09.2007 16:09 18'234 SYNTPENH.EXE-3967AE36.pf
20.09.2007 16:09 22'906 REALSCHED.EXE-0A2A7558.pf
20.09.2007 16:09 7'268 OLFSNT40.EXE-28F177BB.pf
20.09.2007 16:09 9'220 SYNTPLPR.EXE-0AB61C3B.pf
20.09.2007 16:09 16'782 HKCMD.EXE-1D05234B.pf
20.09.2007 16:09 16'744 IGFXTRAY.EXE-3391579A.pf
20.09.2007 16:09 21'132 ALG.EXE-0F138680.pf
20.09.2007 16:09 13'370 PDVDSERV.EXE-15757141.pf
20.09.2007 16:09 18'214 AGRSMMSG.EXE-0034A7F7.pf
20.09.2007 16:09 18'302 IMAPI.EXE-0BF740A4.pf
20.09.2007 16:09 8'608 SNDMON.EXE-0A6C21A2.pf
20.09.2007 16:09 8'900 NEROCHECK.EXE-092C6DFA.pf
20.09.2007 16:09 19'306 SOUNDMAN.EXE-19745A34.pf
20.09.2007 16:09 1'039'064 NTOSBOOT-B00DFAAD.pf
20.09.2007 16:07 13'866 REGEDIT.EXE-1B606482.pf
20.09.2007 16:04 15'664 NOTEPAD.EXE-336351A9.pf
20.09.2007 16:03 20'846 HIJACKTHIS.EXE-39024128.pf
20.09.2007 16:00 61'592 JUCHECK.EXE-22809EFC.pf
20.09.2007 16:00 59'846 LUCALLBACKPROXY.EXE-0B5F632D.pf
20.09.2007 16:00 21'476 JAVA.EXE-10C79773.pf
20.09.2007 16:00 36'242 AUPDATE.EXE-089630E1.pf
20.09.2007 15:52 9'304 VUNDOFIXSVC.EXE-18ADD79E.pf
20.09.2007 15:50 15'220 VUNDOFIX[1].EXE-23E1B0E8.pf
20.09.2007 13:34 10'500 LOGON.SCR-151EFAEA.pf
20.09.2007 13:14 33'102 DFRGNTFS.EXE-269967DF.pf
20.09.2007 13:14 16'504 DEFRAG.EXE-273F131E.pf
20.09.2007 13:14 207'624 Layout.ini
20.09.2007 12:51 15'730 HJTINSTALL[1].EXE-0561A8D6.pf
20.09.2007 12:43 21'406 VERCLSID.EXE-3667BD89.pf
20.09.2007 12:40 35'600 DRWTSN32.EXE-2B4B52AC.pf
20.09.2007 12:40 39'330 DWWIN.EXE-30875ADC.pf
20.09.2007 12:40 30'838 IEDW.EXE-2D047874.pf
20.09.2007 12:33 14'906 RUNDLL32.EXE-385F458A.pf
20.09.2007 12:32 38'668 NMAIN.EXE-1C7B4910.pf
20.09.2007 12:29 59'690 NAVW32.EXE-20C61389.pf
20.09.2007 12:29 18'254 TASKMGR.EXE-20256C55.pf
20.09.2007 12:28 54'866 ALEUPDAT.EXE-1ED60CC5.pf
20.09.2007 12:24 12'318 ITUNESHELPER.EXE-08906EB7.pf
20.09.2007 12:24 29'550 CCAPP.EXE-2EA3695D.pf
19.09.2007 17:10 19'964 WINDOWS-KB890830-V1.33-DELTA.-263BCBC4.pf
19.09.2007 17:10 53'136 MRT.EXE-1B4A8D49.pf
19.09.2007 17:10 51'740 MRTSTUB.EXE-2A00C6CE.pf
19.09.2007 17:10 70'780 UPDATE.EXE-04992586.pf
19.09.2007 17:10 7'960 TZCHANGE.EXE-19761EAC.pf
19.09.2007 17:09 57'848 LOGONUI.EXE-0AF22957.pf
19.09.2007 17:07 30'234 RUNDLL32.EXE-147710F4.pf
19.09.2007 16:56 17'930 RUNDLL32.EXE-47FD6B6C.pf
19.09.2007 16:56 9'250 TMP31.TMP.EXE-34E7D215.pf
19.09.2007 16:55 61'158 TMP30.TMP.EXE-355E3DAE.pf
19.09.2007 16:50 32'280 LUALL.EXE-0DE1F33B.pf
19.09.2007 16:49 43'660 UZIP.EXE-06FFC18F.pf
19.09.2007 16:49 21'476 CONTROL.EXE-013DBFB5.pf
19.09.2007 16:49 22'572 RUNDLL32.EXE-355B0858.pf
19.09.2007 16:49 23'596 RUNDLL32.EXE-1BC69D2D.pf
19.09.2007 16:47 75'004 UPDATE.EXE-39E17E08.pf
19.09.2007 16:45 77'832 REALPLAY.EXE-39F79CBD.pf
01.09.2007 09:17 61'634 HELPSVC.EXE-2878DDA2.pf
30.08.2007 00:04 18'052 IRFTP.EXE-3057F4F7.pf
29.08.2007 15:54 60'096 SWDOCTOR.EXE-13B584DD.pf
29.08.2007 15:43 25'956 RUNDLL32.EXE-1BC55A4F.pf
29.08.2007 15:43 25'460 RUNDLL32.EXE-44D4471A.pf
29.08.2007 15:43 27'366 ICWCONN1.EXE-009F492A.pf
29.08.2007 15:43 37'508 ACRORD32INFO.EXE-30CEC19C.pf
29.08.2007 15:42 16'584 SDHELP.EXE-00535571.pf
29.08.2007 15:42 13'476 NET.EXE-01A53C2F.pf
29.08.2007 15:42 14'740 NET1.EXE-029B9DB4.pf
29.08.2007 15:42 15'900 _REGDLL.TMP-1F27D9CA.pf
29.08.2007 15:42 21'696 REGSVR32.EXE-25EEFE2F.pf
29.08.2007 15:42 43'370 IS-LEC13.TMP-05FBDF2E.pf
29.08.2007 15:42 13'528 SD4SETUP.EXE-07C79368.pf
29.08.2007 15:42 15'202 ACRORD32.EXE-0EC716D9.pf
29.08.2007 15:41 82'526 EXPLORER.EXE-082F38A9.pf
29.08.2007 15:41 27'618 USERINIT.EXE-30B18140.pf
29.08.2007 15:36 13'386 RUNDLL32.EXE-451FC2C0.pf
29.08.2007 13:52 32'868 MSCONFIG.EXE-35E4DAE9.pf


Verzeichnis von C:\WINDOWS

20.09.2007 16:09 1'870'794 WindowsUpdate.log
20.09.2007 16:09 159 wiadebug.log
20.09.2007 16:09 50 wiaservc.log
20.09.2007 16:08 0 0.log
20.09.2007 16:08 2'048 bootstat.dat
20.09.2007 16:07 32'176 SchedLgU.Txt
20.09.2007 12:35 32 pavsig.txt
20.09.2007 03:34 643'464 ntbtlog.txt
19.09.2007 17:10 669'076 iis6.log
19.09.2007 17:10 122'724 ntdtcsetup.log
19.09.2007 17:10 205'088 comsetup.log
19.09.2007 17:10 32'691 ocmsn.log
19.09.2007 17:10 274'381 tsoc.log
19.09.2007 17:10 1'374 imsins.log
19.09.2007 17:10 30'217 tabletoc.log
19.09.2007 17:10 21'302 KB933360.log
19.09.2007 17:10 103'509 netfxocm.log
19.09.2007 17:10 41'023 MedCtrOC.log
19.09.2007 17:10 285'920 ocgen.log
19.09.2007 17:10 29'608 msgsocm.log
19.09.2007 17:10 586'557 FaxSetup.log
19.09.2007 17:10 185'104 msmqinst.log
31.08.2007 08:58 907'466 setupapi.log
29.08.2007 15:31 744 win.ini
29.08.2007 15:31 227 system.ini
28.08.2007 17:16 1'864 OEWABLog.txt
28.08.2007 17:16 6'894 wmsetup.log
27.08.2007 15:43 1'374 imsins.BAK
27.08.2007 15:43 27'079 KB927779.log
27.08.2007 15:43 25'224 updspapi.log
27.08.2007 15:43 23'993 KB923414.log
27.08.2007 15:43 25'053 KB928255.log
27.08.2007 15:42 25'185 KB931784.log
27.08.2007 15:42 23'484 KB911562.log
27.08.2007 15:42 20'617 KB924667.log
27.08.2007 15:42 23'572 KB900485.log
27.08.2007 15:42 22'567 KB924496.log
27.08.2007 15:42 22'711 KB921503.log
27.08.2007 15:42 22'197 KB926436.log
27.08.2007 15:41 22'509 KB930178.log
27.08.2007 15:41 22'212 KB914388.log
27.08.2007 15:41 21'239 KB932168.log
27.08.2007 15:41 17'616 KB923191.log
27.08.2007 15:41 19'864 KB908531.log
27.08.2007 15:41 23'403 KB937143.log
27.08.2007 15:28 923 spupdsvc.log
24.08.2007 21:10 36'780 KB899587.log
24.08.2007 21:10 36'899 KB927802.log
24.08.2007 21:10 34'653 KB922819.log
24.08.2007 21:10 32'800 KB911927.log
24.08.2007 21:10 34'668 KB901017.log
24.08.2007 21:10 35'685 KB899591.log
24.08.2007 21:10 23'257 KB923723.log
24.08.2007 21:10 32'335 KB920685.log
24.08.2007 21:10 35'302 KB893756.log
24.08.2007 21:09 35'704 KB923980.log
24.08.2007 21:09 34'497 KB911280.log
24.08.2007 21:09 32'939 KB936021.log
24.08.2007 21:09 30'597 KB938828.log
24.08.2007 21:09 31'039 KB896423.log
24.08.2007 21:09 30'733 KB924270.log
24.08.2007 21:09 33'071 KB931261.log
24.08.2007 21:09 26'055 KB936782.log
24.08.2007 21:08 25'398 KB927891.log
24.08.2007 21:08 31'775 KB936357.log
24.08.2007 21:08 41'038 KB931836.log
24.08.2007 21:08 33'165 KB938829.log
24.08.2007 21:08 33'084 KB896358.log
24.08.2007 21:08 26'498 KB925398.log
24.08.2007 21:07 24'898 KB910437.log
24.08.2007 21:07 24'732 KB911564.log
24.08.2007 21:07 31'893 KB925902.log
24.08.2007 21:07 28'535 KB929123.log
24.08.2007 21:07 29'849 KB920670.log
24.08.2007 21:07 30'944 KB918439.log
24.08.2007 21:06 34'470 KB902400.log
24.08.2007 21:03 23'657 KB890046.log
24.08.2007 21:03 26'316 KB920872.log
24.08.2007 21:03 27'636 KB919007.log
24.08.2007 21:03 25'880 KB917344.log
24.08.2007 21:03 27'163 KB905414.log
24.08.2007 21:03 25'925 KB917953.log
24.08.2007 21:03 24'616 KB901214.log
24.08.2007 21:02 19'272 KB922582.log
24.08.2007 21:02 23'954 KB918118.log
24.08.2007 21:02 24'840 KB926255.log
24.08.2007 21:02 22'718 KB900725.log
24.08.2007 21:02 23'143 KB938127.log
24.08.2007 21:02 22'730 KB920213.log
24.08.2007 21:02 22'210 KB935840.log
24.08.2007 21:02 22'725 KB930916.log
24.08.2007 21:01 20'355 KB904706.log
24.08.2007 21:01 20'476 KB905749.log
24.08.2007 21:01 15'840 KB923689.log
24.08.2007 21:01 21'674 KB913580.log
24.08.2007 21:01 18'961 KB896428.log
24.08.2007 21:01 20'684 KB935839.log
24.08.2007 21:00 21'791 KB894391.log
24.08.2007 21:00 13'177 KB908519.log
24.08.2007 21:00 19'953 KB920683.log
24.08.2007 21:00 18'461 KB914389.log
24.08.2007 21:00 20'541 KB928843.log
24.08.2007 13:28 10'188 KB893803v2.log
24.08.2007 13:24 7'079 KB898461.log
24.08.2007 13:24 6'177 KB916595.log
21.08.2007 21:46 69 NeroDigital.ini


----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68DB-D16F

Verzeichnis von C:\WINDOWS\tasks

20.09.2007 16:08 6 SA.DAT
20.09.2007 16:00 354 At17.job
20.09.2007 15:00 354 At16.job
20.09.2007 13:59 354 At15.job
20.09.2007 13:00 354 At14.job
19.09.2007 17:00 354 At18.job
01.09.2007 20:00 354 At21.job
01.09.2007 19:00 354 At20.job
01.09.2007 18:00 354 At19.job
01.09.2007 12:00 354 At13.job
01.09.2007 11:00 354 At12.job
01.09.2007 10:00 354 At11.job
01.09.2007 09:00 354 At10.job
01.09.2007 08:00 354 At9.job
01.09.2007 07:00 354 At8.job
01.09.2007 06:00 354 At7.job
01.09.2007 05:00 354 At6.job
01.09.2007 04:00 354 At5.job
01.09.2007 03:00 354 At4.job
01.09.2007 02:00 354 At3.job
01.09.2007 01:00 354 At2.job
01.09.2007 00:00 354 At1.job
31.08.2007 23:00 354 At24.job
31.08.2007 22:00 354 At23.job
31.08.2007 21:00 354 At22.job
31.08.2007 20:00 562 Norton AntiVirus - Meinen Computer prfen - DK.job


----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 68DB-D16F

Verzeichnis von C:\DOKUME~1\DK\LOKALE~1\Temp

20.09.2007 16:11 120'411 filelist.txt
20.09.2007 16:00 4'242 jusched.log
20.09.2007 15:50 32'768 ~DFDA0D.tmp
20.09.2007 12:51 114'688 ~DF508A.tmp
21.08.2007 20:33 117 D653F3EC.TMP


Verzeichnis von C:\DOKUME~1\DK\LOKALE~1\Temp

20.09.2007 16:11 120'411 filelist.txt
20.09.2007 16:00 4'242 jusched.log
20.09.2007 15:50 32'768 ~DFDA0D.tmp
20.09.2007 12:51 114'688 ~DF508A.tmp
21.08.2007 20:33 117 D653F3EC.TMP


Vielen Dank, ich glaube Vundo ist verschwunden. Frage: Als ich die Einträge mit HJT fixte waren danach alle verschwunden (also einfach nicht mehr sichtbar) und beim erneuten Scan ist

O2 - BHO: (no name) - {e2f55700-ab0b-4bbf-bd77-54236b22ec3d} - C:\WINDOWS\system32\igftle.dll

erneut erschienen.

O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\tmp31.tmp.dll

war (wahrscheinlich dank Vundofix) nicht vorhanden.

Alt 20.09.2007, 15:32   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Adclicker & Igfxtray.exe - Wie entfernen? - Standard

Trojan.Adclicker & Igfxtray.exe - Wie entfernen?



Ein paar Reste sind da noch. Um diese offensichtlichen Dateien zu löschen, bitte so vorgehen:
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:
Files to delete:
C:\WINDOWS\system32\igftle.dll
C:\WINDOWS\system32\tmp31.tmp.dll
C:\WINDOWS\system32\dn68dbd16f.dat
C:\WINDOWS\system32\igftle.dns
C:\WINDOWS\system32\ikhcore.log
C:\WINDOWS\system32\tmpA.tmp.dll
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At24.job
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.
Führ danach folgende Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Blacklight
- Silentrunners

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.09.2007, 15:59   #6
Bibilieli
 
Trojan.Adclicker & Igfxtray.exe - Wie entfernen? - Standard

Trojan.Adclicker & Igfxtray.exe - Wie entfernen?



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\lostqpsl

*******************

Script file located at: vmyjario

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!


Das ist der Inhalt der .txt Datei. Beim Neustart blieb der Desktop blank und ich mich erneut ab- und anmelden. Danach kam zuerst die .txt Datei, danach eine Viruswarnung dass Igftle.dll noch immer vorhanden sei.

<logfiles kommen gleich....

Alt 20.09.2007, 16:16   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Adclicker & Igfxtray.exe - Wie entfernen? - Standard

Trojan.Adclicker & Igfxtray.exe - Wie entfernen?



Ähm, Adminrecht haste du doch oder? Die sind für den Avenger erforderlich.
Überprüf auch mal bitte ob Windows script Host aktiv ist. Öffne regedit und navigiere zu

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows Script Host/Settings

stell sicher, dass rechts die Zeichenfolge "Enabled" den Wert 1 hat. Wenn nicht auf 1 setzen! Probier es dann mit dem Avenger noch einmal.

http://www.trojaner-board.de/76731-i...-igfxtray.html
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.09.2007, 17:54   #8
Bibilieli
 
Trojan.Adclicker & Igfxtray.exe - Wie entfernen? - Standard

Trojan.Adclicker & Igfxtray.exe - Wie entfernen?



Ja klar, Admin Rechte hab ich natürlich. Hab die Werte angepasst, Avenger wird gleich nochmals ausgeführt. Hier noch die Resultate des escans:


File C:\WINDOWS\system32\igftle.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ke". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\igftle.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ke". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

File C:\WINDOWS\system32\igftle.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ke". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Object "w32.rontokbro.d@mm Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\ComPlusMetaData.MsCorHost" verweist auf das ungültige Objekt "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\ComPlusMetaData.MsCorHost.2" verweist auf das ungültige Objekt "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\SymControlChecker.ControlInstaller" verweist auf das ungültige Objekt "{AF40C6B3-6FB5-41bb-B198-F89CD78371FD}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\SymControlChecker.ControlInstaller.1" verweist auf das ungültige Objekt "{AF40C6B3-6FB5-41bb-B198-F89CD78371FD}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCR\SymWriter.pdb" verweist auf das ungültige Objekt "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt ""C:\PROGRA~1\WINDOW~2\wmplayer.exe"". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "C:\PROGRA~1\WINDOW~2\wmplayer.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Nikon\Message Center\postinstall.bat". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Nikon\Message Center\preinstall.bat". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt
"C:\WINDOWS\system32\DIMM.DLL". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Adobe\Acrobat 6.0\Reader\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Themes\bars\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Themes\checkers\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Themes\factory\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Themes\global\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Themes\nature\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Themes\blitz\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Themes\poetic\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Themes\sandston\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Themes\topo\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Themes\willow\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".cue". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".DSC". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".hrf". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".ithmb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".lhp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".MRK". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".NJB". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".pcf". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Alcohol Toolbar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Hattrick Buddy". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "M886903". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (1.5)". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "QuickTime". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{55BF0E5F-EA8E-4C13-A8B4-9E4857F5A2DE}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{5878FF02-3B8F-4309-B4E5-0D3DB6F2E8E6}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{5B433733-BB31-4B40-BCBA-DDED37626641}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{AC76BA86-7AD7-1031-7B44-A00000000001}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

File C:\WINDOWS\system32\igftle.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ke". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Datei C:\Programme\Norton AntiVirus\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Datei C:\Programme\Norton AntiVirus\Quarantine\308B6095//CryptFF infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Datei C:\Programme\Norton AntiVirus\Quarantine\308B6095.exe//CryptFF infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Datei C:\Programme\Norton AntiVirus\Quarantine\309B3283//CryptFF infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Datei C:\Programme\Norton AntiVirus\Quarantine\309E5C80.exe//CryptFF infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Datei C:\Programme\Norton AntiVirus\Quarantine\4EA6112C//CryptFF infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Datei C:\Programme\Norton AntiVirus\Quarantine\4EA6112C.exe//CryptFF infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

File C:\Programme\Norton AntiVirus\Quarantine\4EAA3B28.dll//CryptFF markiert als "not-a-virus:AdWare.Win32.Virtumonde.kw". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Datei C:\Programme\Norton AntiVirus\Quarantine\4EB00F21//CryptFF infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Datei C:\Programme\Norton AntiVirus\Quarantine\4EB00F21.exe//CryptFF infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

File C:\Windows\system32\igftle.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ke". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Datei D:\Systemdaten\RECYCLER\S-1-5-21-3375262784-2605880172-3649599875-1005\Dd2\setup\uninst.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.



Thu Sep 20 17:47:39 2007 => ***** Scan vollständig. *****
Thu Sep 20 17:47:39 2007 => Gescannte Dateien: 64881
Thu Sep 20 17:47:39 2007 => Gefundene Viren: 17
Thu Sep 20 17:47:39 2007 => Anzahl der desinfizierten Dateien: 0
Thu Sep 20 17:47:39 2007 => Umbenannte Dateien: 0
Thu Sep 20 17:47:39 2007 => Anzahl der gelöschten Dateien: 0
Thu Sep 20 17:47:39 2007 => Anzahl Fehler: 42
Thu Sep 20 17:47:39 2007 => Dauer des Scans bisher: 00:39:25
Thu Sep 20 17:47:39 2007 => Virus-Datenbank Datum: 9/18/2007
Thu Sep 20 17:47:39 2007 => Virus-Datenbank Zähler: 420130

Thu Sep 20 17:47:39 2007 => Scan vollständig.

Alt 20.09.2007, 18:03   #9
Bibilieli
 
Trojan.Adclicker & Igfxtray.exe - Wie entfernen? - Standard

Trojan.Adclicker & Igfxtray.exe - Wie entfernen?



Hier sind noch die Resultate des Avengers:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\demctqcu

*******************

Script file located at: \??\C:\njoxcsjs.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\igftle.dll deleted successfully.


File C:\WINDOWS\system32\tmp31.tmp.dll not found!
Deletion of file C:\WINDOWS\system32\tmp31.tmp.dll failed!

Could not process line:
C:\WINDOWS\system32\tmp31.tmp.dll
Status: 0xc0000034

File C:\WINDOWS\system32\dn68dbd16f.dat deleted successfully.
File C:\WINDOWS\system32\igftle.dns deleted successfully.
File C:\WINDOWS\system32\ikhcore.log deleted successfully.
File C:\WINDOWS\system32\tmpA.tmp.dll deleted successfully.
File C:\WINDOWS\tasks\At17.job deleted successfully.
File C:\WINDOWS\tasks\At16.job deleted successfully.
File C:\WINDOWS\tasks\At15.job deleted successfully.
File C:\WINDOWS\tasks\At14.job deleted successfully.
File C:\WINDOWS\tasks\At18.job deleted successfully.
File C:\WINDOWS\tasks\At19.job deleted successfully.
File C:\WINDOWS\tasks\At20.job deleted successfully.
File C:\WINDOWS\tasks\At21.job deleted successfully.
File C:\WINDOWS\tasks\At1.job deleted successfully.
File C:\WINDOWS\tasks\At2.job deleted successfully.
File C:\WINDOWS\tasks\At3.job deleted successfully.
File C:\WINDOWS\tasks\At4.job deleted successfully.
File C:\WINDOWS\tasks\At5.job deleted successfully.
File C:\WINDOWS\tasks\At6.job deleted successfully.
File C:\WINDOWS\tasks\At7.job deleted successfully.
File C:\WINDOWS\tasks\At8.job deleted successfully.
File C:\WINDOWS\tasks\At9.job deleted successfully.
File C:\WINDOWS\tasks\At10.job deleted successfully.
File C:\WINDOWS\tasks\At11.job deleted successfully.
File C:\WINDOWS\tasks\At12.job deleted successfully.
File C:\WINDOWS\tasks\At13.job deleted successfully.
File C:\WINDOWS\tasks\At22.job deleted successfully.
File C:\WINDOWS\tasks\At23.job deleted successfully.
File C:\WINDOWS\tasks\At24.job deleted successfully.

Completed script processing.

*******************

Finished! Terminate.Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\demctqcu

*******************

Script file located at: \??\C:\njoxcsjs.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\igftle.dll deleted successfully.


File C:\WINDOWS\system32\tmp31.tmp.dll not found!
Deletion of file C:\WINDOWS\system32\tmp31.tmp.dll failed!

Could not process line:
C:\WINDOWS\system32\tmp31.tmp.dll
Status: 0xc0000034

File C:\WINDOWS\system32\dn68dbd16f.dat deleted successfully.
File C:\WINDOWS\system32\igftle.dns deleted successfully.
File C:\WINDOWS\system32\ikhcore.log deleted successfully.
File C:\WINDOWS\system32\tmpA.tmp.dll deleted successfully.
File C:\WINDOWS\tasks\At17.job deleted successfully.
File C:\WINDOWS\tasks\At16.job deleted successfully.
File C:\WINDOWS\tasks\At15.job deleted successfully.
File C:\WINDOWS\tasks\At14.job deleted successfully.
File C:\WINDOWS\tasks\At18.job deleted successfully.
File C:\WINDOWS\tasks\At19.job deleted successfully.
File C:\WINDOWS\tasks\At20.job deleted successfully.
File C:\WINDOWS\tasks\At21.job deleted successfully.
File C:\WINDOWS\tasks\At1.job deleted successfully.
File C:\WINDOWS\tasks\At2.job deleted successfully.
File C:\WINDOWS\tasks\At3.job deleted successfully.
File C:\WINDOWS\tasks\At4.job deleted successfully.
File C:\WINDOWS\tasks\At5.job deleted successfully.
File C:\WINDOWS\tasks\At6.job deleted successfully.
File C:\WINDOWS\tasks\At7.job deleted successfully.
File C:\WINDOWS\tasks\At8.job deleted successfully.
File C:\WINDOWS\tasks\At9.job deleted successfully.
File C:\WINDOWS\tasks\At10.job deleted successfully.
File C:\WINDOWS\tasks\At11.job deleted successfully.
File C:\WINDOWS\tasks\At12.job deleted successfully.
File C:\WINDOWS\tasks\At13.job deleted successfully.
File C:\WINDOWS\tasks\At22.job deleted successfully.
File C:\WINDOWS\tasks\At23.job deleted successfully.
File C:\WINDOWS\tasks\At24.job deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


PS: Bisher keine Viruswarnung seit dem Neustart mehr gekommen.

Frage: Brauche ich Silentrunners und Blacklight auch noch auszuführen?

Alt 20.09.2007, 18:11   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Adclicker & Igfxtray.exe - Wie entfernen? - Standard

Trojan.Adclicker & Igfxtray.exe - Wie entfernen?



Ok. Das sieht schon besser aus. Der Avenger konnte alle Dateien löschen, bis auf eine, das liegt aber daran, dass die schon gelöscht wurde, wohl vom vundofix.
escan (mwav) erzeugt leider größtenteils Fehlalarme, aber die angezeigten Dateien sind schon gelöscht bzw. liegen in Quarantäne von NAV- sollte keine Bedrohung darstellen. Ein paar Reste liegen als "Datenmüll" herum (Papierkorb z.B.), kannst du leeren. Vllt. mal bei der gelegenheit auch das System mit Hilfe des CCleaner entschlacken.

Jetzt fehlt noch der sicherheitscheck mit Blacklight. Dann sehen wir weiter.
Edit: Achso, silentrunners nat. auch! Das dient zur Überprüfung, ob alles offensichtliche auch entfernt wurde.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.09.2007, 23:01   #11
Bibilieli
 
Trojan.Adclicker & Igfxtray.exe - Wie entfernen? - Standard

Trojan.Adclicker & Igfxtray.exe - Wie entfernen?



Vielen Dank!!

Blacklight hat nichts mehr gefunden, doch komischerweise ist der Vundo-Virus wieder aufgetaucht und zwar in der gleichen Datei die ich heute schon gelöscht habe. Die Viruswarnung kam jedes Mal wenn ich Silentrunners trotz Empfehlung von Norton zugelassen habe - "bösartiges Skript entdeckt". Ich bin gerade dabei das Vundo Removal Tool von Symantec auszuführen, da der Link den du gepostet hast nicht mehr erreichbar ist nachdem die Virenmeldung erfolgt ist. Komisch.

Edith meint: Hmmm... Vundo wurde nicht gefunden, denkst du dass dies eine Fehlermeldung ist die mit dem Silentrunner zusammenhängt?

Geändert von Bibilieli (20.09.2007 um 23:14 Uhr)

Alt 21.09.2007, 02:27   #12
mmk
 
Trojan.Adclicker & Igfxtray.exe - Wie entfernen? - Standard

Trojan.Adclicker & Igfxtray.exe - Wie entfernen?



Guten Morgen!

Zitat:
Zitat von Bibilieli Beitrag anzeigen
Die Viruswarnung kam jedes Mal wenn ich Silentrunners trotz Empfehlung von Norton zugelassen habe - "bösartiges Skript entdeckt".
Und sonst? Also mal abgesehen von der Meldung, die sich auf das Script bezieht - gibt es noch eine andere, die auf die besagte Datei bezogen ist? Wenn ja, wie genau lautet diese Meldung?
__________________
Grüße, Markus

Alt 21.09.2007, 14:09   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojan.Adclicker & Igfxtray.exe - Wie entfernen? - Standard

Trojan.Adclicker & Igfxtray.exe - Wie entfernen?



Zitat:
Die Viruswarnung kam jedes Mal wenn ich Silentrunners trotz Empfehlung von Norton zugelassen habe - "bösartiges Skript entdeckt".
der $ymantec-Schrott spinnt - deaktivier notfalls den Wächter temporär, um das silentrunner.vbs auszuführen.

http://www.trojaner-board.de/76731-i...-igfxtray.html
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.09.2007, 15:08   #14
Bibilieli
 
Trojan.Adclicker & Igfxtray.exe - Wie entfernen? - Standard

Trojan.Adclicker & Igfxtray.exe - Wie entfernen?



@ mmk: Nein, dies ist die einzige Meldung. Der Virus ist nicht vorhanden, der PC ist clean. : Die Warnung erscheint einfach erneut wenn silentrunners zugelassen wird (aber nur einmalig), auch danach ist auf dem PC nichts zu finden (weder die infizierte Datei noch sonst eine Meldung). Aus diesem grund habe ich Silentrunners jetzt mal ausgeführt und nichts verdächtiges gefunden!

@ Cosinus: Hat sich denke ich erledigt. Vielen Dank für die Hilfe, bin dir extrem dankbar! :aplaus:Find ich bewundernswert mit welchem Elan ihr hier zu Werk geht. Vor Allem dass ihr es schafft mit eurem Wissen alles so "tubelisicher" zu erklären (wie man in der CH so schön sagt ;-)) Alles Gute und schönes Wochenende wüscht euch

Bibilieli

Antwort

Themen zu Trojan.Adclicker & Igfxtray.exe - Wie entfernen?
datei, dinge, entfernen, folge, folgendes, forum, hijack, hijackthis, hilfe!, kleines, laptop, logfile, löschen, nicht löschen, posten, problem, prozess, sache, symantec, system, system32, trojaner, virus, wie entfernen, wie entfernen?, windows



Ähnliche Themen: Trojan.Adclicker & Igfxtray.exe - Wie entfernen?


  1. hkcmd,igfxpers,igfxTray [...]
    Log-Analyse und Auswertung - 01.05.2011 (26)
  2. Trojaner igfxtray.exe
    Log-Analyse und Auswertung - 21.08.2010 (2)
  3. pc lahm: igfxtray.exe" oder doch spoolsv.exe entfernen?
    Log-Analyse und Auswertung - 06.12.2009 (3)
  4. igfxtray.exe - was ist das? igfxtray
    Plagegeister aller Art und deren Bekämpfung - 18.04.2009 (5)
  5. Verdacht auf Win32/AdClicker.HF
    Plagegeister aller Art und deren Bekämpfung - 21.07.2008 (11)
  6. Trojaner ADW ADCLICKER.BJ was soll ich tun??
    Plagegeister aller Art und deren Bekämpfung - 31.01.2008 (14)
  7. Trojan-Adclicker in Windows\System32\NSV26.DLL
    Plagegeister aller Art und deren Bekämpfung - 24.09.2007 (63)
  8. Vundo, adclicker, purityscan ....
    Plagegeister aller Art und deren Bekämpfung - 14.02.2007 (6)
  9. Adw.adclicker.bj
    Plagegeister aller Art und deren Bekämpfung - 20.08.2006 (6)
  10. Trojan.Adclicker und andere Viren
    Plagegeister aller Art und deren Bekämpfung - 12.01.2006 (7)
  11. Trojaner Adclicker
    Plagegeister aller Art und deren Bekämpfung - 22.10.2005 (2)
  12. trojan.adclicker
    Plagegeister aller Art und deren Bekämpfung - 03.05.2005 (1)
  13. adclicker.ba & starpage.tr - externe festplatte als lösung?
    Plagegeister aller Art und deren Bekämpfung - 30.04.2005 (3)
  14. W32/adclicker
    Plagegeister aller Art und deren Bekämpfung - 18.04.2005 (5)
  15. Trojaner.Adclicker
    Plagegeister aller Art und deren Bekämpfung - 22.03.2004 (5)
  16. Trojan Adclicker!! hilfe
    Plagegeister aller Art und deren Bekämpfung - 20.03.2004 (0)
  17. Trojan.Adclicker hat explorer.exe infiziert
    Plagegeister aller Art und deren Bekämpfung - 18.03.2004 (11)

Zum Thema Trojan.Adclicker & Igfxtray.exe - Wie entfernen? - Hallo miteinander! Ich hab mal wieder ein kleines Problem: Der Laptop meines Bruders hat sich einen Virus geholt mit folgender Bezeichnung: Art des Virus: Trojan.Adclicker Infizierte Datei: Windows\System32\igftle.dll Nebenbei habe - Trojan.Adclicker & Igfxtray.exe - Wie entfernen?...
Archiv
Du betrachtest: Trojan.Adclicker & Igfxtray.exe - Wie entfernen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.