| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: antiviruspro infektion und blauer bildschirmWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
25.03.2008, 20:37
| #1 |
 |  antiviruspro infektion und blauer bildschirm viiielen dank es sieht gut aus ! der hintergrund ist endlich wieder meiner!! malwarebytes hatte immerhin an die 38 infizierte dateien gefunden.. ist mein pc jetzt definitiv sauber oder muss ich noch irgendetwas überprüfen ? aber tausend dank lg |
|
25.03.2008, 20:42
| #2 | |
| Administrator > Competence Manager  | antiviruspro infektion und blauer bildschirmZitat:
Poste bitte noch den Verlauf von Combofix, auch wenn alles wieder funktioniert muss noch lange nicht alles entfernt worden sein. 
__________________ |
|
25.03.2008, 21:55
| #3 |
| | antiviruspro infektion und blauer bildschirm nun denn hoffentlich der finale test
__________________das log von combofix: ComboFix 08-03-18.1 - Marcel 2008-03-25 21:50:24.5 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.316 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\All Users\Dokumente\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((( Dateien erstellt von 2008-02-25 bis 2008-03-25 )))))))))))))))))))))))))))))) . 2008-03-25 20:24 . 2008-03-25 20:31 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-03-25 20:24 . 2008-03-25 20:24 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten\Malwarebytes 2008-03-25 20:24 . 2008-03-25 20:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-03-25 20:19 . 2008-03-25 20:19 269,334 --a------ C:\WINDOWS\system32\nehsbqdofqt.bmp 2008-03-25 19:44 . 2008-03-25 19:44 269,334 --a------ C:\WINDOWS\system32\qporqd.bmp 2008-03-24 14:21 . 2008-03-24 14:21 269,334 --a------ C:\WINDOWS\system32\sralkf.bmp 2008-03-24 14:03 . 2008-03-24 14:03 269,334 --a------ C:\WINDOWS\system32\gnatonid.bmp 2008-03-24 13:47 . 2008-03-24 13:47 269,334 --a------ C:\WINDOWS\system32\ehkrmhkbil.bmp 2008-03-24 13:32 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-03-24 13:32 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-03-24 13:32 . 2008-03-22 15:49 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-03-24 13:32 . 2008-03-15 17:16 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-03-24 13:32 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-03-24 13:32 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-03-24 13:32 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-03-24 13:32 . 2008-03-24 13:43 2,552 --a------ C:\WINDOWS\system32\tmp.reg 2008-03-22 14:40 . 2008-03-22 14:40 269,334 --a------ C:\WINDOWS\system32\ehgfidcf.bmp 2008-03-22 14:35 . 2008-03-22 14:35 269,334 --a------ C:\WINDOWS\system32\hkrmdsnqlcb.bmp 2008-03-22 13:10 . 2008-03-22 13:10 <DIR> d-------- C:\Programme\CCleaner 2008-03-21 18:25 . 2008-03-21 18:25 <DIR> d-------- C:\Programme\antivirus-kaspa 2008-03-21 16:37 . 2008-03-21 16:37 <DIR> d-------- C:\Programme\Trend Micro 2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\zts2.exe 2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll 2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\rundll16.exe 2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\rundl132.dll 2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\logo1_.exe 2008-03-19 11:24 . 2008-03-19 11:29 26 --a------ C:\WINDOWS\Lic.xxx 2008-03-19 11:23 . 2002-12-31 13:00 153,600 --a------ C:\WINDOWS\R.COM 2008-03-19 11:23 . 2002-12-31 13:00 140,800 --a------ C:\WINDOWS\system32\T.COM 2008-03-19 10:32 . 2008-03-19 10:32 <DIR> d-------- C:\WINDOWS\ERUNT 2008-03-19 10:29 . 2008-03-19 11:04 <DIR> d-------- C:\SDFix 2008-03-18 23:00 . 2008-03-18 23:00 <DIR> d-------- C:\Programme\Avira 2008-03-18 23:00 . 2008-03-18 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-03-02 17:20 . 2008-03-25 21:46 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-03-02 17:20 . 2008-03-02 17:20 1,409 --a------ C:\WINDOWS\QTFont.for . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-14 11:18 --------- d-----w C:\Programme\iTunes 2008-03-14 11:18 --------- d-----w C:\Programme\iPod 2008-03-02 16:18 --------- d-----w C:\Programme\QuickTime 2008-02-07 15:19 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 13:00 15360] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 00:11 1667584] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIModeChange"="Ati2mdxx.exe" [2004-02-24 18:08 28672 C:\WINDOWS\system32\Ati2mdxx.exe] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-02-03 20:10 335872] "AGRSMMSG"="AGRSMMSG.exe" [2003-06-10 03:37 87751 C:\WINDOWS\AGRSMMSG.exe] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-06-17 02:40 126976] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-06-17 02:40 561152] "Hcontrol"="C:\WINDOWS\ATK0100\Hcontrol.exe" [2003-09-08 15:02 61440] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-31 23:13 385024] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 13:10 267048] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-18 23:01 249896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 13:00 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ hp psc 1000 series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 00:17:18 147456] hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 00:06:58 28672] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04 83360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Bearshare\\BearShare.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= R0 rmedia;Ricoh MediaCard Driver;C:\WINDOWS\system32\DRIVERS\rmedia.sys [2002-12-24 18:52] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\start.bat . Inhalt des "geplante Tasks" Ordners "2008-03-06 17:21:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe "2008-01-07 12:00:24 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1191493774.job" - C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-25 21:51:28 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-03-25 21:51:50 ComboFix-quarantined-files.txt 2008-03-25 20:51:42 ComboFix2.txt 2008-03-25 19:17:55 ComboFix3.txt 2008-03-22 13:36:51 ComboFix4.txt 2008-03-22 12:16:03 ComboFix5.txt 2008-03-19 10:57:00 ________________________________________________________ und wie siehts aus ? |
|
27.03.2008, 17:01
| #4 |
| | antiviruspro infektion und blauer bildschirm hallöchen ! würd nur gern wissen ob mit meinem rechner jetzt alles wieder ok ist und ich ihn wieder benutzen kann ??? dankeschön! |
|
27.03.2008, 17:18
| #5 | |
| Administrator > Competence Manager | antiviruspro infektion und blauer bildschirmZitat:
Ich brauche unbedingt noch die Auswertung von Malwarebytes, das hast du doch schon durchgeführt, oder?! Hier nochmal die Anleitung: Malwarebytes' Anti-Malware Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde: Download von Malwarebytes' Anti-Malware
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. Geändert von Sunny (27.03.2008 um 17:38 Uhr) |
|
27.03.2008, 17:33
| #6 |
| | antiviruspro infektion und blauer bildschirm ja genau hab ich schon durchgeführt und scheint geholfen zu haben : Malwarebytes' Anti-Malware 1.08 Datenbank Version: 471 Scan Art: Schnell Scan Objekte gescannt: 26329 Scan Dauer: 3 minute(s), 23 second(s) Infizierte Speicher Prozesse: 1 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 35 Infizierte Registrierungswerte: 1 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicher Prozesse: C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe (Trojan.Downloader) -> Unloaded process successfully. Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\Interface\{7afdb136-8433-46af-9d8d-42ab37cccd0f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{9222ee90-928a-455e-9298-98d41f2f5ce3} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{c9328120-16f7-4aa3-9408-60fd5bdcc37f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{d4ad2785-64dc-4c22-9c1d-62fa759ea137} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{5addfe10-9b32-4489-adc3-495750b7eaf9} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{07ef06d7-8ba8-4f5a-886b-84cc38fcdf5f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{10f07e10-ba78-4162-82e9-4caad2d18478} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{11df24a1-a106-4c7f-bf2c-f7d5411fe74e} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{2036b120-bd5d-4e50-b82f-d4d6d522f68e} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{215f19fd-a509-4e03-958e-ea3b3f9b2ff9} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{280c7289-8caf-446a-98fe-c0f9217cee1e} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{2dd00c35-ae7f-4b96-912d-1a991b66f363} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{2fa9e9a6-5956-4977-9bef-a067b996f96f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{305dbf41-6179-4d97-87a8-bb23b0ff74fe} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{3e755986-4cd0-4cfe-bfa5-23cdfd354288} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{4463934e-005b-4b73-8881-9e58603b2dcb} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{4f8252da-ddbd-4e3f-a84d-6d4ef8bacd4e} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{4fdbc56b-873e-4663-ae52-0a60f2bf2053} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{58da7d32-ce59-4e58-9b6e-295ed4986dd3} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{5e6ae9e1-1495-4ade-b94c-9416458f75b7} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{6788fa7b-f9fb-4d97-a631-11171519ec47} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{68579fa8-3b04-49c1-9cc7-6f36f71e17dc} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{9f18caba-442d-4ab9-82f7-db4c7a93dc3c} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{afe2f1ad-488f-4845-8707-76b31e6aa7ff} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{bfe95ca1-4501-48e3-813d-ff5cbc335d0d} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{c6b25ff9-9788-4377-840f-e6990f990b56} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{cd959f6a-3083-42cd-8b9a-e5a79897f071} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{d0da99db-1661-464d-ad36-52f0d03b959f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{d2bed334-77e8-47fe-b68c-ff7179114ee4} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{d4b336b9-03d5-47df-984d-1135d4a10999} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{db29e08e-bc52-40a7-8099-0935d7dbee63} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{e359a09a-6e50-4e21-8079-329efa21db86} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{f14759bd-36b5-4c42-9451-00db471ab5c2} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{fff85aa2-8c3e-43f5-934b-31eeab0258bc} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{ada69949-6704-425c-808e-cf86f5666aba} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BluetoothAuthorizationAgent (Trojan.Downloader) -> Quarantined and deleted successfully. Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe (Trojan.Downloader) -> Quarantined and deleted successfully. vielen dank fürs drüberschauen !! |
|
27.03.2008, 17:38
| #7 |
| Administrator > Competence Manager | antiviruspro infektion und blauer bildschirm Es ist für dich leider noch nicht beendet:  Deckards System Scanner (DSS) Hier gibt es das Tool -> dss.exe * Schließe alle Anwendungen * Doppelklicke dss.exe um das Programm zu starten * Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt der main.txt öffnen. Ein weiteres Logfile, die extra.txt liegt im Verzeichnis c:\Deckard\SystemScanner\extra.txt * Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE] Was Deckards System Scanner macht: * Es Erstellt einen System Wiederherstellungspunkt * es säubert die temporären Dateien, Downloaded Program Files, Internet Cache Dateien und es leert den Mülleimer auf allen Lauferken.
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
| Themen zu antiviruspro infektion und blauer bildschirm |
| abgesicherten modus, adobe, avira, bho, bildschirm, detected, escan, excel, explorer, helfen, hijack, hijackthis, hkus\s-1-5-18, hotkey, immer wieder, internet, internet explorer, logfile, microsoft, neustart, pdf, problem, software, spyware, surfen, system, warning, windows, windows xp |
Hybrid-Darstellung
