Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
verzeifelt, trojan.Perfcoo u. trojan.KillAV

verzeifelt, trojan.Perfcoo u. trojan.KillAV


Log-Analyse und Auswertung: verzeifelt, trojan.Perfcoo u. trojan.KillAV

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 15.10.2007, 17:28   #1
myriaah
 
verzeifelt, trojan.Perfcoo u. trojan.KillAV - Standard

verzeifelt, trojan.Perfcoo u. trojan.KillAV


so nun erstmal

die silentrunner files

zu1)

"Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\MSMSGS.EXE" /background" [MS]
"Yahoo! Pager" = ""C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Picasa Media Detector" = "C:\Programme\Picasa2\PicasaMediaDetector.exe" ["Google Inc."]
"SDTray" = ""C:\Programme\Spyware Doctor\SDTrayApp.exe"" ["PC Tools"]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"EPSON Stylus DX5000 Series (Kopie 1)" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S3.tmp" /EF "HKLM"" ["SEIKO EPSON CORPORATION"]
"EPSON Stylus DX5000 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S36.tmp" /EF "HKLM"" ["SEIKO EPSON CORPORATION"]
"ugcw" = ""C:\PROGRA~1\GEMEIN~1\VIRUSS~1\ugcw.exe" -start" [file not found]


zu2)

"Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\MSMSGS.EXE" /background" [MS]
"Yahoo! Pager" = ""C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Picasa Media Detector" = "C:\Programme\Picasa2\PicasaMediaDetector.exe" ["Google Inc."]
"SDTray" = ""C:\Programme\Spyware Doctor\SDTrayApp.exe"" ["PC Tools"]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"EPSON Stylus DX5000 Series (Kopie 1)" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S3.tmp" /EF "HKLM"" ["SEIKO EPSON CORPORATION"]
"EPSON Stylus DX5000 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S36.tmp" /EF "HKLM"" ["SEIKO EPSON CORPORATION"]
"ugcw" = ""C:\PROGRA~1\GEMEIN~1\VIRUSS~1\ugcw.exe" -start" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4efb-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{5464D816-CF16-4784-B9F3-75C0DB52B499}" = "Yahoo! Mail"
-> {HKLM...CLSID} = "YMailShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\
"AppInit_DLLs" = (value not set)

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Yahoo! Mail\(Default) = "{5464D816-CF16-4784-B9F3-75C0DB52B499}"
-> {HKLM...CLSID} = "YMailShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoControlPanel" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

"NoWindowsUpdate" = (REG_DWORD) hex:0x00000001
{User Configuration|Administrative Templates|Start Menu and Taskbar|
Remove links and access to Windows Update}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

"DisableTaskMgr" = (REG_DWORD) hex:0x00000001
{unrecognized setting}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Nicole" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Erinnerungen für Microsoft Works-Kalender" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe" ["Microsoft® Corporation"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"Speedport W 100 Stick WLAN Manager" -> shortcut to: "C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe" ["TECOM"]


Enabled Scheduled Tasks:
------------------------

"Norton Security Scan" -> launches: "C:\Programme\Norton Security Scan\Nss.exe /scan-full /scheduled" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\MSMSGS.EXE" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Missing lines (compared with English-language version):
[Strings]: 1 line

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "*Q" (unwritable string)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]


HOSTS file
----------

C:\WINDOWS\System32\drivers\etc\HOSTS

maps: 102 domain names to IP addresses,
102 of the IP addresses are *not* localhost!


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Spyware Doctor Auxiliary Service, sdAuxService, "C:\Programme\Spyware Doctor\svcntaux.exe" ["PC Tools"]
Spyware Doctor Service, sdCoreService, "C:\Programme\Spyware Doctor\swdsvc.exe" ["PC Tools"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
EPSON Stylus DX5000 Series 32MonitorBE\Driver = "E_FLBBVE.DLL" ["SEIKO EPSON CORPORATION"]


---------- (launch time: 2007-10-15 15:50:05)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 2896 seconds, including 7 seconds for message boxes)
Geändert von myriaah (15.10.2007 um 17:34 Uhr)

Alt 15.10.2007, 18:33   #2
myriaah
 
verzeifelt, trojan.Perfcoo u. trojan.KillAV - Standard

verzeifelt, trojan.Perfcoo u. trojan.KillAV


ich kann machen was ich will ich komme nicht in den abgesicherten modus

F8, F5, oder im taskmanger systemprozesse beenden,

kein abgesicherter modus

hilfe!!!
__________________
Alt 15.10.2007, 19:46   #3
selten_hier
 
verzeifelt, trojan.Perfcoo u. trojan.KillAV - Standard

verzeifelt, trojan.Perfcoo u. trojan.KillAV


Abgesicherter Modus, wenn F8 nicht funktioniert:

Start - Ausführen - msconfig - BOOT.INI - Hacken vor "/SAFEBOOT"

Nach dieser Eintragung startet der PC im abgesicherten Modus, bis der Hacken wieder entfernt wird.
__________________
Alt 16.10.2007, 00:40   #4
myriaah
 
verzeifelt, trojan.Perfcoo u. trojan.KillAV - Standard

verzeifelt, trojan.Perfcoo u. trojan.KillAV


der escan

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.4.7
Sprache: German
Virus-Datenbank Datum: 10/15/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\xlavra3.exe infiziert von "Trojan-Downloader.Win32.Agent.eao" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\drivers\etc\hosts infiziert von "Trojan.Win32.Qhost.mg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\xlavra3.exe infiziert von "Trojan-Downloader.Win32.Agent.eao" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\System32\printer.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\System32\WinAvXX.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\avenger\backup.zip/avenger/printer.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Nicole\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Nicole\Eigene Dateien\jawaline\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0062835.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0062836.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0062837.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0062843.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0063854.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0063867.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0063868.dll markiert als "not-virus:Hoax.Win32.Renos.lq". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065856.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065857.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065862.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065863.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065867.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065988.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065990.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065991.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0066000.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\printer.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\WinAvXX.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\System32\process.exe
Offending file found: C:\WINDOWS\System32\swreg.exe
Offending file found: C:\WINDOWS\System32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in D\Shell\AutoRun\command: D:\AUTORUN\AUTORUN.EXE
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ad.doubleclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ad.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ads.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ar.atwola.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 atdmt.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.ch
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 awaps.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 banner.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 banners.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ca.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 click.atdmt.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 clicks.atdmt.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 customer.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 dispatch.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 download.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 download.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us1.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us2.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us3.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads1.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads2.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads3.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads4.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 engine.awaps.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 f-secure.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.avp.ch
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads1.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads2.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads3.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.f-secure.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.kasperskylab.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.sophos.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 go.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ids.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 kaspersky.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 liveupdate.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 liveupdate.symantecliveupdate.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 mast.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 media.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 msdn.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 my-etrust.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 nai.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 networkassociates.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 norton.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 office.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 pandasoftware.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 phx.corporate-ir.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 rads.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 secure.nai.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 securityresponse.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 service1.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 sophos.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 spd.atdmt.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 support.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 trendmicro.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 update.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates1.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates2.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates3.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates4.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates5.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 us.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 vil.nai.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 viruslist.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 viruslist.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 virusscan.jotti.org
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 virustotal.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 windowsupdate.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.ch
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.awaps.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.ca.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.f-secure.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.grisoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.my-etrust.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.nai.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.networkassociates.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.pandasoftware.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.sophos.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.trendmicro.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.viruslist.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.viruslist.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.virustotal.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www3.ca.com
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 93024
Gefundene Viren: 30
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 10
Dauer des Scans bisher: 01:49:19
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 22:58:28,76
Batchende: 22:58:35,75

Alt 16.10.2007, 07:15   #5
Chris4You
 
verzeifelt, trojan.Perfcoo u. trojan.KillAV - Standard

verzeifelt, trojan.Perfcoo u. trojan.KillAV


Hi,

wir operieren jetzt am offenen Herz, daher auf
eigenes Risiko!


SafeMode:
Entweder wie vorgeschlagen oder wie folgt reparieren:
Downloade SafeMode Repair.zip
http://www.hijackthis-forum.de/attachment.php?attachmentid=2272&d=1187631899
entpacke es auf Deinen Desktop,
mach einen Doppelklick auf die neu entstandene RegDatei, um sie laufen zu lassen
Klicke auf 'ok' > starte deinen Rechner in den normalen Modus auf.


Avenger
http://filepony.de/download-the_avenger/
Input script manually (anhaken)
kopiere in: View/edit script

Zitat:

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Files to delete:
C:\WINDOWS\xlavra3.exe
C:\WINDOWS\System32\process.exe
C:\WINDOWS\System32\swreg.exe
C:\WINDOWS\System32\swsc.exe
C:\WINDOWS\System32\printer.exe
C:\WINDOWS\System32\WinAvXX.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten!
(Wenn das nicht geht, müssen wir die Killbox nehmen!)

HostFile gerade biegen:
(Er leitet alle Anfragen an Antivirus-Internetseiten einschließlich
virustotal etc. um)! Wenn das Internet nicht mehr funktioniert,
musst Du Deinen Provider per Hand eventuelle einrichten, sichere daher
das HostFile komplett (zu finden unter:C:\WINDOWS\system32\drivers\etc\hosts)
vielleicht kann ich daraus die richtigen Einstellungen extrahieren)
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

Neu booten und neuer Escan sowie HJ-Log posten;
Zusaetzlich bitte noch CureIT nutzen Anleitung: Anleitung: DrWeb - CureIt - Anleitung
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de


Wenn nichts mehr gefunden wurde ausser in den _restore-Verzeichnissen:
Systemwiederherstellung löschen
http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html
Wenn der Rechner einwandfrei läuft alle Systemwiederherstellungspunkte löschen
lassen (das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden,
d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest,
dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK ->
Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt
erstellen->weiter, Beschreibung ausdenken->Erstellen

chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 16.10.2007, 11:34   #6
myriaah
 
verzeifelt, trojan.Perfcoo u. trojan.KillAV - Standard

verzeifelt, trojan.Perfcoo u. trojan.KillAV


danke für die anwort.
leider hab ich heute über tag keine zeit für meinen pc.
bist du morgen da, oder hilft mir jemand anders weiter?
danke

Alt 16.10.2007, 11:45   #7
Trojanerade
 
verzeifelt, trojan.Perfcoo u. trojan.KillAV - Standard

verzeifelt, trojan.Perfcoo u. trojan.KillAV


Keiner merkt es

Seht ihr das hier nicht

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:52:08, on 14.10.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Sp1 nicht geupdatetes System
Erstmal das System auf den neuesten Stand bringen
__________________
Nothing can stop me in MY work

Antwort

Themen zu verzeifelt, trojan.Perfcoo u. trojan.KillAV
adobe, appinit_dlls, bho, c:\windows\temp, drivers, einstellungen, ellung, entfernen, explorer, google, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, log, microsoft, neustart, picasa, programme, s-1-5-18, security, security scan, software, spyware, stick, symantec, temp, trend micro, trojan.killav, urlsearchhook, windows, windows xp, windows\temp, wlan, yahoo


« Bitte um Auswertung bei meinem Scan: | Virus über Icq!!! »


Ähnliche Themen: verzeifelt, trojan.Perfcoo u. trojan.KillAV


  1. [Win XP] botnet: ntp-muliplier; desinfect: Trojan.Script.Iframer, Trojan.Heur.TP, Win.Trojan.Iniduoh, Win.Trojan.Ramnit
    Log-Analyse und Auswertung - 08.02.2014 (16)
  2. Mehrere Trojaner im Temp Ordner (Trojan.Citadel.IE, Trojan.Ransom.CT, Trojan.Zlob)
    Log-Analyse und Auswertung - 14.04.2013 (7)
  3. Trojan.Ransom.ED, Trojan.Agent.ED, Trojan.FakeMS.PRGen und Bublik b. durch Email erhalten?
    Plagegeister aller Art und deren Bekämpfung - 02.04.2013 (29)
  4. BKA-Trojaner u.a. (Trojan.Bublik, Trojan-Ransom.Foreign, Worm.Cridex, Trojan.Yakes)
    Log-Analyse und Auswertung - 17.03.2013 (4)
  5. Wohl mehrere Viren: Rootkit.0Access Trojan.Zaccess Trojan.RansomP.Gen Trojan.Agent bzw. TR/ATRAPS.Gen2
    Plagegeister aller Art und deren Bekämpfung - 25.09.2012 (13)
  6. Trojan.Apppatch,Trojan.Agent.BVXGen und Trojan.Midhos in C:\Users\inet-kid\AppData,TR/ATRAPS.Gen2
    Plagegeister aller Art und deren Bekämpfung - 13.09.2012 (35)
  7. EXP/2008-5353.AO TR/Kazy.80527.3 Trojan.BT.Soft.Gen Trojan.Banker Trojan.Agent
    Plagegeister aller Art und deren Bekämpfung - 14.07.2012 (5)
  8. Hilfe! Trojan.Small; Trojan.Sirefef; Rootkit.0Access; Trojan.Atraps.Gen2 auf meinem Rechner.
    Plagegeister aller Art und deren Bekämpfung - 29.06.2012 (11)
  9. Erst Exploit.2010-0840.BC aus Avira, dann Trojan.KillAV aus Malwarebytes
    Log-Analyse und Auswertung - 30.11.2011 (34)
  10. Trojan.Agent, Trojan.FakeAltert, Trojan.Hiloti.Gen gefunden und gelöscht,aber wirklich weg?
    Log-Analyse und Auswertung - 27.04.2011 (11)
  11. Trojan.BHO, Spyware.Passwords.XGen, Trojan.Dropper und Trojan.Agent mit Malware gefunden
    Plagegeister aller Art und deren Bekämpfung - 20.12.2010 (9)
  12. Diverse Trojaner vom Typ Trojan.Rodecap, Trojan.Dropper und Trojan.Agent! Brauche dringend Hilfe!
    Log-Analyse und Auswertung - 09.08.2010 (16)
  13. Trojan KillAV eingefangen
    Log-Analyse und Auswertung - 05.04.2009 (65)
  14. Brauche Hilfe gegen Trojan.KillAV
    Plagegeister aller Art und deren Bekämpfung - 07.10.2007 (18)
  15. trojan.killAV
    Plagegeister aller Art und deren Bekämpfung - 28.09.2007 (24)
  16. Trojan.KillAV.FG
    Log-Analyse und Auswertung - 12.02.2007 (2)
  17. I-net spinnt, Comp spinnt = Trojan.Lowzones + Trojan.KillAV
    Plagegeister aller Art und deren Bekämpfung - 13.07.2005 (11)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema verzeifelt, trojan.Perfcoo u. trojan.KillAV - so nun erstmal die silentrunner files zu1) "Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat! Operating System: Windows XP Output limited to non-default values, except where indicated - verzeifelt, trojan.Perfcoo u. trojan.KillAV...
Archiv
Du betrachtest: verzeifelt, trojan.Perfcoo u. trojan.KillAV auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131