Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virus mein pc lädt im hintergrund vieren runter !! HILFE !!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 03.03.2008, 15:24   #1
thecracktobi
 
Virus mein pc lädt im hintergrund vieren runter !! HILFE !! - Standard

Virus mein pc lädt im hintergrund vieren runter !! HILFE !!



hallo,

ich hoffe mir können/wollen hier welche weiterhelfen, also ich habe folgendes problem:

Ich habe neulich wieder einen gewohnten system-check mit antivir und spyware doctor gemacht, antivir meldet keine viren auf dem rechner, spyware doctor allerdings sagt es wäre ein gewiesser virus namens Adware.agent.BN auf meinem rechner, in der beschreibung von Spyware doctor steht das dieser virus im hintergrund weitere viren runterladen würde und anderen zugang auf meinen pc verschaffen würde, ich habe diesen virus daraufhin gelöscht habe dannach wieder einen durchlauf gemacht und dieser virus war wieder da. Spyware docotr zeigt an das das 3 datein sind, 3 auf dem destop und 3 in den favoriten mit der endung .url

Seit neustem meldet mir Windows Security Alert das ich einen gefährlichen virus auf meinem pc hätte und das checken lassen sollte daraufhin hab ich mir von Windows den WindowsXDefender 2.1 runtergealden und der findet auch noch ein virus namens Worm.Win32.NetSky, ich kann diese viren nicht löschen, weil ich eine serial für das programm brauche, Kann mir hier jemand weiterhelfen?? Ich bin echt am verzweifeln !!

Alt 03.03.2008, 15:29   #2
myrtille
/// TB-Ausbilder
 
Virus mein pc lädt im hintergrund vieren runter !! HILFE !! - Standard

Virus mein pc lädt im hintergrund vieren runter !! HILFE !!



Herzlichen Glückwunsch. Sie sind einem Rogueprogramm aufgesessen.

Weder der WindowsXDefender, noch die WindowsSecurityAlert sind von Windows. Das sind Programme, die dir vorgaukeln, dein Rechner sei verseucht und dich auf eine Seite leiten auf der du ein kostenpflichtiges Programm runterladen sollst.

Erstelle bitte Logfiles mit HijackThis und Smitfraudfix und poste diese hier.
Smitfraudfix Anleitung: Bitte den Abschnitt "suche" abarbeiten
Hijackthis Anleitung: Bitte die Abschnitte "Logfile erstellen" und "Auswertung" abarbeiten
Bei der "Auswertung" reicht es wenn du Möglichkeit 2 beachtest.

Dann machen wir das ohne Serial

lg myrtille
__________________


Alt 03.03.2008, 15:35   #3
thecracktobi
 
Virus mein pc lädt im hintergrund vieren runter !! HILFE !! - Standard

Virus mein pc lädt im hintergrund vieren runter !! HILFE !!



Vielen dank erstmal das mir überhaupt einer weiterhilft, danke

ich werde die log files dann spätestens heute abend hier posten

VIELEN DANK FÜR DIE HILFE !!
__________________

Alt 03.03.2008, 17:53   #4
thecracktobi
 
Virus mein pc lädt im hintergrund vieren runter !! HILFE !! - Standard

Virus mein pc lädt im hintergrund vieren runter !! HILFE !!



hallo anti vir lässt mich nicht smidfraudfix.exe zugreifen, anti vir meint diese .exe wäre ein virus Was soll ich tun?

Alt 03.03.2008, 18:02   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus mein pc lädt im hintergrund vieren runter !! HILFE !! - Icon32

Virus mein pc lädt im hintergrund vieren runter !! HILFE !!



Zitat:
Zitat von thecracktobi Beitrag anzeigen
hallo anti vir lässt mich nicht smidfraudfix.exe zugreifen, anti vir meint diese .exe wäre ein virus Was soll ich tun?
Ist ein Fehlalarm. Ja wenn ein Virenscanner aufpoppt ist es nicht immer gefährlich.

Um den smitfraudfix nicht weiter zu beeinflussen solltest du daher den Virenscanner zumindest temporär beenden/ausschalten.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 03.03.2008, 18:37   #6
thecracktobi
 
Virus mein pc lädt im hintergrund vieren runter !! HILFE !! - Standard

Virus mein pc lädt im hintergrund vieren runter !! HILFE !!



Also hier das Log File von Smitfraudfix:

SmitFraudFix v2.300

Scan done at 19:07:34,96, 03.03.2008
Run from G:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Tobi


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Tobi\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

[!] Suspicious: enlfxgw.dll
Toolbar: enlfxgw - {9CF5CD0B-DED8-4AEC-9B00-80C9BCB9067D}
TypeLib: {9AFF2EFF-7E8E-4AAA-9FD9-BAE7222C895E}
Interface: {038E3866-3FE9-4846-8EC1-37AB8AAB8DEA}
Classe: enlfxgw.blgk
Classe: enlfxgw.ToolBar.1

[!] Suspicious: btrklfr.dll
SSODL: btrklfr - {178B4717-CECD-49BB-9BA2-1A3DCBB8A858}

[!] Suspicious: apdqnxp.dll
SSODL: apdqnxp - {4C7B8ABF-692A-4E16-B4FF-CB8DE020DAAA}


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End



So und nun die von HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:24:27, on 03.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system\CmSNXeye.exe
C:\WINDOWS\VM_STI.EXE
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Brennprogramme\AnyDVD\AnyDVDtray.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\ICQ6\ICQ.exe
C:\Programme\WinXDefender\WinXDefender.exe
D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Philips\Philips SPC210NC Webcam\TrayMin210.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\HiJackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchHelper Class - {505087B6-49F1-4B75-853B-47BD7BF30A30} - C:\WINDOWS\system32\FeedMerge.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: enlfxgw - {9CF5CD0B-DED8-4AEC-9B00-80C9BCB9067D} - C:\WINDOWS\enlfxgw.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC210NC Webcam
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Brennprogramme\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [WinXDefender] C:\Programme\WinXDefender\WinXDefender.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office Groove.lnk = C:\Programme\Microsoft Office\Office12\GROOVE.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: TrayMin210.exe.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - D:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O21 - SSODL: btrklfr - {178B4717-CECD-49BB-9BA2-1A3DCBB8A858} - C:\WINDOWS\btrklfr.dll
O21 - SSODL: apdqnxp - {4C7B8ABF-692A-4E16-B4FF-CB8DE020DAAA} - C:\WINDOWS\apdqnxp.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - D:\Programme\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9691 bytes


Was nun?

Alt 03.03.2008, 18:40   #7
myrtille
/// TB-Ausbilder
 
Virus mein pc lädt im hintergrund vieren runter !! HILFE !! - Standard

Virus mein pc lädt im hintergrund vieren runter !! HILFE !!



Ok.

Schau mal ob du WinXDefender unter Start->Systemsteuerung->Software deinstallieren kannst.

Wenn du das getan hast, wechsele bitte in den abgesicherten Modus und führe dort nochmal Smitfraudfix aus und lasse alles bereinigen.
Poste dann hier bitte ein neues Hijackthislog und das Log, das Smitfraudfix nach dem Bereinigen erstellt hat.

lg myrtille

Alt 03.03.2008, 19:20   #8
thecracktobi
 
Virus mein pc lädt im hintergrund vieren runter !! HILFE !! - Standard

Virus mein pc lädt im hintergrund vieren runter !! HILFE !!



Dankeeee mann, ich hab das gemacht und schwups war alles weg, spyware doctor zeigt kein virus mehr an, genauso wie anti vir, dankeeee mann

Hier noch mal die Log.datein
Smitfraudfix:

SmitFraudFix v2.300

Scan done at 19:59:51,25, 03.03.2008
Run from C:\Dokumente und Einstellungen\Tobi\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\enlfxgw.dll deleted.
C:\WINDOWS\btrklfr.dll deleted.
C:\WINDOWS\apdqnxp.dll deleted.


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

und hier die von HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:12:27, on 03.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\VM_STI.EXE
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system\CmSNXeye.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Brennprogramme\AnyDVD\AnyDVDtray.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Philips\Philips SPC210NC Webcam\TrayMin210.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\HiJackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchHelper Class - {505087B6-49F1-4B75-853B-47BD7BF30A30} - C:\WINDOWS\system32\FeedMerge.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC210NC Webcam
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Brennprogramme\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office Groove.lnk = C:\Programme\Microsoft Office\Office12\GROOVE.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: TrayMin210.exe.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - D:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - D:\Programme\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9110 bytes


Ist jetzt alles in Ordnung?

Alt 03.03.2008, 19:31   #9
myrtille
/// TB-Ausbilder
 
Virus mein pc lädt im hintergrund vieren runter !! HILFE !! - Standard

Virus mein pc lädt im hintergrund vieren runter !! HILFE !!



Noch nicht ganz. Es sind noch Überreste von WinXDefender über.

Erstelle daher bitte ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop[/indent]Diese listing.txt z.B. bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Dann sollten wir die Überbleibsel finden.

lg myrtille

Alt 03.03.2008, 20:02   #10
thecracktobi
 
Virus mein pc lädt im hintergrund vieren runter !! HILFE !! - Standard

Virus mein pc lädt im hintergrund vieren runter !! HILFE !!



so hier der link:

File-Upload.net - Ihr kostenloser File Hoster!

hoffentlich ist alles in Ordnung,

Alt 03.03.2008, 20:17   #11
myrtille
/// TB-Ausbilder
 
Virus mein pc lädt im hintergrund vieren runter !! HILFE !! - Standard

Virus mein pc lädt im hintergrund vieren runter !! HILFE !!



Hi,
wechsele wieder in den abgesicherten Modus und lösche folgende Ordner und Dateien:
Zitat:
C:\Programme\WinXDefender Ordner
C:\windows\system32\feedmerge.dll Datei
c:\window\sfqspogw.exe Datei
Rufe danach nochmal HijackThis auf (immernoch im abgeischerten Modus), klicke auf "Do a system scan only" und setze Haken bei folgenden Einträgen:
Zitat:
O2 - BHO: SearchHelper Class - {505087B6-49F1-4B75-853B-47BD7BF30A30} - C:\WINDOWS\system32\FeedMerge.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
und klicke dann auf "Fix checked".

Das sollte es dann gewesen sein.

lg myrtille

Alt 03.03.2008, 20:48   #12
thecracktobi
 
Virus mein pc lädt im hintergrund vieren runter !! HILFE !! - Standard

Virus mein pc lädt im hintergrund vieren runter !! HILFE !!



hab ich gemacht ging ganz easy nur ein problem gabs: die datei C:\window\sfqspow.exe exestiert nicht, sonst habe ich alle datein gelöscht

Tausend Dank für die Hilfe

Alt 03.03.2008, 21:04   #13
myrtille
/// TB-Ausbilder
 
Virus mein pc lädt im hintergrund vieren runter !! HILFE !! - Standard

Virus mein pc lädt im hintergrund vieren runter !! HILFE !!



Argh, da ist mir der \ verrutscht.

Die Datei ist mit ziemlicher Sicherheit da. Hattest du auch alle Dateien sicher gemacht? Dateien sichtbar machen

Versuch es ansonsten Mal mit:
killbox und lösche mittels "Delete on reboot" die überbleibende Datei
Zitat:
C:\windows\fqspow.exe
(so sollte es heißen)

lg myrtille

Alt 04.03.2008, 14:56   #14
thecracktobi
 
Virus mein pc lädt im hintergrund vieren runter !! HILFE !! - Standard

Virus mein pc lädt im hintergrund vieren runter !! HILFE !!



ok ich habe die datei im abgesicherten modus dann gefunden und gelöscht

hoffe mein rechner ist jetzt vierenfrei

nochmal tausend dank an dich das du mir so schnell helfen konntest

Antwort

Themen zu Virus mein pc lädt im hintergrund vieren runter !! HILFE !!
alert, antivir, antivir meldet, brauche, checken, datei, folge, gelöscht, hintergrund, keine viren, lädt, löschen, nicht löschen, problem, programm, rechner, security, security alert, spyware, spyware doctor, vieren, viren, virus, windows, windows security, windows security alert, worm.win32.netsky



Ähnliche Themen: Virus mein pc lädt im hintergrund vieren runter !! HILFE !!


  1. WinVista32bit: SimpleFiles lädt nicht löschbare Dateien runter
    Plagegeister aller Art und deren Bekämpfung - 02.04.2015 (3)
  2. Chrom lädt automatisch Datein runter ?
    Plagegeister aller Art und deren Bekämpfung - 08.03.2015 (3)
  3. Windows 7: PC lädt Dateien runter (crl oder msi) sobald das Internet an ist
    Log-Analyse und Auswertung - 13.02.2015 (7)
  4. Hintergrund: BSI lädt zum Gedächtnis-Test
    Nachrichten - 08.04.2014 (0)
  5. Notebook lädt ständig im Hintergrund
    Plagegeister aller Art und deren Bekämpfung - 07.04.2014 (9)
  6. Mein Rechner lädt so langsam in letzter Zeit Toolbar Quickshare daran schuld? (Snapshot.do virus? )
    Plagegeister aller Art und deren Bekämpfung - 27.08.2013 (13)
  7. Chrome 17 lädt Seiten im Hintergrund
    Nachrichten - 06.01.2012 (0)
  8. 1. Java lädt Viren runter, 2. Online Banking TANs gesperrt
    Log-Analyse und Auswertung - 21.07.2011 (3)
  9. Mein PC lädt runter und lädt runter..
    Log-Analyse und Auswertung - 26.08.2010 (22)
  10. Benutzerkonto lädt hoch und fährt direkt wieder runter :(
    Plagegeister aller Art und deren Bekämpfung - 20.06.2010 (1)
  11. PC lädt im Hintergrund runter
    Plagegeister aller Art und deren Bekämpfung - 19.01.2010 (2)
  12. Mein Vista lädt ständig im Hintergrund!
    Plagegeister aller Art und deren Bekämpfung - 27.08.2008 (5)
  13. Mein Vista lädt ständig runter! Warum?
    Log-Analyse und Auswertung - 15.06.2008 (9)
  14. Win XP: Hilfe: Mein PC fährt ständig runter!
    Plagegeister aller Art und deren Bekämpfung - 12.07.2007 (124)
  15. hilfe... mein rechner fährt nimmer runter!!
    Log-Analyse und Auswertung - 07.04.2006 (5)
  16. hilfe!! mein laptop fährt dauernd runter
    Log-Analyse und Auswertung - 27.12.2005 (5)
  17. Hilfe mein Internetexplorer Lädt beim Hochfahren von alleine
    Plagegeister aller Art und deren Bekämpfung - 17.02.2005 (7)

Zum Thema Virus mein pc lädt im hintergrund vieren runter !! HILFE !! - hallo, ich hoffe mir können/wollen hier welche weiterhelfen, also ich habe folgendes problem: Ich habe neulich wieder einen gewohnten system-check mit antivir und spyware doctor gemacht, antivir meldet keine viren - Virus mein pc lädt im hintergrund vieren runter !! HILFE !!...
Archiv
Du betrachtest: Virus mein pc lädt im hintergrund vieren runter !! HILFE !! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.