| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner löst alert aus und öffnet Download auf FirefoxWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
01.08.2008, 09:22
| #1 |
| |  Trojaner löst alert aus und öffnet Download auf Firefox Hallo hilfsbereite Community, ich bin neu hier und hoffe jemand von Euch kann mir helfen. Jedes mal wenn ich einen Ordner öffne kommt folgende Meldung: "Attention, User! some dangerous trojan horses detected in your system. Microsoft Windows files corrupted. This may lead to the destruction of important files in C:\WINDOWS. Download protection software now! Click OK to download the antispyware. (Recommended)" Es macht keinen Unterschied ob ich auf "OK" oder "Abbrechen" klicke, jedes Mal wird Firefox geöffnet und macht zwei mal die Homepage www.spywareadvancedscanner.com/2008/_download.php?aid=880202 auf. Diese wird von Firefox 2.0.0.16 geblockt. Ich habe Windows XP Home Edition (2002) Service Pack 2, Habe mit folgenden Programmen geprüft: Kaspersky Anti-Virus 7.0, Version 7.0.0125 ddffg TuneUp Utilities 2008/ Freeware hat das Problem nicht behoben. Habe durch andere Beiträge gelesen und deswegen HJT durchgeführt. Ich habe nur nicht verstanden was ich als Nächstes machen soll, und bitte um Hilfe. MFG Danidi HJT LOG-DATEI: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:53:53, on 27.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\Canon\IJPLM\IJPLMSVC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\The Bat!\thebat.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\WINDOWS\system32\taskmgr.exe C:\DOKUME~1\***\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {22D8E815-4A5E-4dfb-845E-AAB64207F5BD} - (no file) O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {6DDBF417-0774-46AD-940B-6A4D9A039407} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: VideoCodec Class - {926A61C9-5C20-4583-ACA7-ACE21088816E} - C:\WINDOWS\system32\RichVideoCodec.dll O2 - BHO: VideoCodec Class - {949859A7-EB1F-400D-BDBC-C48238BDF788} - C:\WINDOWS\system32\AswBHO.dll O3 - Toolbar: (no name) - {92085AD4-F48A-450d-BD93-B28CC7DF67CE} - (no file) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [EumexInst] "E:\Setup.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 5399 bytes |
|
01.08.2008, 09:42
| #2 |
  | Trojaner löst alert aus und öffnet Download auf Firefox Hi,
__________________(Richvideocodec)... Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Files to delete:
C:\WINDOWS\system32\RichVideoCodec.dll
C:\WINDOWS\system32\Richvideocodec.ocx
C:\WINDOWS\system32\richvideocodec.exe
C:\WINDOWS\system32\AswBHO.dll
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O2 - BHO: VideoCodec Class - {926A61C9-5C20-4583-ACA7-ACE21088816E} - C:\WINDOWS\system32\RichVideoCodec.dll
O2 - BHO: VideoCodec Class - {949859A7-EB1F-400D-BDBC-C48238BDF788} - C:\WINDOWS\system32\AswBHO.dll
O2 - BHO: (no name) - {6DDBF417-0774-46AD-940B-6A4D9A039407} - (no file)
O2 - BHO: (no name) - {22D8E815-4A5E-4dfb-845E-AAB64207F5BD} - (no file)
Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/. Chris
__________________ |
|
01.08.2008, 11:44
| #3 |
| | Trojaner löst alert aus und öffnet Download auf Firefox Hallo Chris4you,
__________________habe mich sehr gefreut über die schnelle Hilfe. Ich habe jetzt folgendes durchgeführt: 1) Kaspersky Meldung nach Durchgang mit Avenger und Neustart 2) Logfile of The Avenger 3) Logfile of Trend Micro HijackThis 4) Malware (Probleme) Danke, Danidi 1) Der Avenger.txt file öffnet automatisch nach dem Neustart. Während ich den las, meldete sich Kaspersky 8 Mal. Ich klickte auf "Verbieten" da ich nicht wusste worum es ging. Anschliessende diese Kaspersky Meldung: 01.08.2008 11:55:06 C:\WINDOWS\system32\wuauclt.exe Die ausführbare Datei der Anwendung wurde verändert. 01.08.2008 11:55:06 C:\WINDOWS\system32\wuauclt.exe Aktion wurde verboten. 01.08.2008 11:55:19 C:\WINDOWS\system32\wuauclt.exe Die ausführbare Datei der Anwendung wurde verändert. 01.08.2008 11:55:19 C:\WINDOWS\system32\wuauclt.exe Aktion wurde verboten. 01.08.2008 11:55:20 C:\WINDOWS\system32\wuauclt.exe Die ausführbare Datei der Anwendung wurde verändert. 01.08.2008 11:55:20 C:\WINDOWS\system32\wuauclt.exe Aktion wurde verboten. 01.08.2008 11:55:21 C:\WINDOWS\system32\wuauclt.exe Die ausführbare Datei der Anwendung wurde verändert. 01.08.2008 11:55:21 C:\WINDOWS\system32\wuauclt.exe Aktion wurde verboten. 01.08.2008 11:55:26 C:\WINDOWS\system32\wuauclt.exe Die ausführbare Datei der Anwendung wurde verändert. 01.08.2008 11:55:26 C:\WINDOWS\system32\wuauclt.exe Aktion wurde verboten. 01.08.2008 11:55:28 C:\WINDOWS\system32\wuauclt.exe Die ausführbare Datei der Anwendung wurde verändert. 01.08.2008 11:55:28 C:\WINDOWS\system32\wuauclt.exe Aktion wurde verboten. 01.08.2008 11:55:30 C:\WINDOWS\system32\wuauclt.exe Die ausführbare Datei der Anwendung wurde verändert. 01.08.2008 11:55:30 C:\WINDOWS\system32\wuauclt.exe Aktion wurde verboten. 01.08.2008 11:55:31 C:\WINDOWS\system32\wuauclt.exe Die ausführbare Datei der Anwendung wurde verändert. 01.08.2008 11:55:31 C:\WINDOWS\system32\wuauclt.exe Aktion wurde verboten. 2) Avenger: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\WINDOWS\system32\RichVideoCodec.dll" deleted successfully. Error: file "C:\WINDOWS\system32\Richvideocodec.ocx" not found! Deletion of file "C:\WINDOWS\system32\Richvideocodec.ocx" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\richvideocodec.exe" not found! Deletion of file "C:\WINDOWS\system32\richvideocodec.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS\system32\AswBHO.dll" deleted successfully. Completed script processing. ******************* Finished! Terminate. 3) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:05:42, on 01.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\Canon\IJPLM\IJPLMSVC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\DOKUME~1\Rainer\LOKALE~1\Temp\Temporäres Verzeichnis 2 für HiJackThis.zip\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {22D8E815-4A5E-4dfb-845E-AAB64207F5BD} - (no file) O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {6DDBF417-0774-46AD-940B-6A4D9A039407} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: VideoCodec Class - {926A61C9-5C20-4583-ACA7-ACE21088816E} - C:\WINDOWS\system32\RichVideoCodec.dll (file missing) O2 - BHO: VideoCodec Class - {949859A7-EB1F-400D-BDBC-C48238BDF788} - C:\WINDOWS\system32\AswBHO.dll (file missing) O3 - Toolbar: (no name) - {92085AD4-F48A-450d-BD93-B28CC7DF67CE} - (no file) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [EumexInst] "E:\Setup.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 5276 bytes 4) MALWARE: Habe das Malware direkt vom e-mail downloadet. Beim Installieren kam folgende Meldung: C:\Programme\Malwarebytes'Anti-Malware\mbamext.dll DLL/OCX konnte nicht registriert werden: RegSvr32-Aufruf scheiterte mit Exit-Code 0x5. Klicken Sie auf "Wiederholen" für ein weiteren Versuch,"Ignorieren", um trotzdem fortzufahren (nicht empfohlen), oder "Abbrechen", um die Installation abzubrechen. Ich habe abgebrochen und ein zweites und drittes Mal versucht. Jedes mal abgebrochen bei der obigen Meldung. Anschließende habe ich das Programm gelöscht und neu downloadet von http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html Hatte leider kein Erfolg. Mache ich was falsch oder gibt es andere Probleme? Danke |
|
01.08.2008, 13:28
| #4 | |
| | Trojaner löst alert aus und öffnet Download auf Firefox Hi, Du hast vergessen wie angegeben die Einträge mit HJ zu fixen, hole das bitte umgehen nach! Lasse die Datei "C:\WINDOWS\system32\wuauclt.exe" online prüfen! virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html Zitat:
Gut, dann packen wir die Keule aus: Combofix: Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Lösche danach alle temporären Verzeichnisse und versuche die Installation von MAM nochmal. Poste unbedingt das Log von HJ beim fixen und das Log von Combifx... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) Geändert von Chris4You (01.08.2008 um 13:49 Uhr) |
|
01.08.2008, 16:26
| #5 | |||||
| | Trojaner löst alert aus und öffnet Download auf FirefoxZitat:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:26:13, on 01.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\Canon\IJPLM\IJPLMSVC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Dokumente und Einstellungen\Rainer\Desktop\HijackThis.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 1462 bytes Zitat:
First received: 2007.11.15 01:13:55 (CET) Datum 2008.08.01 13:50:48 (CET) [<1D] Ergebnisse 0/36 Permalink: analisis/962d825db4fbe04295fd4a7b36e653f3 Datei wuauclt.exe empfangen 2008.08.01 15:37:43 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/36 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit is zwischen 46 und 66 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.29.1 2008.08.01 - AntiVir 7.8.1.15 2008.08.01 - Authentium 5.1.0.4 2008.07.31 - Avast 4.8.1195.0 2008.07.31 - AVG 8.0.0.156 2008.08.01 - BitDefender 7.2 2008.08.01 - CAT-QuickHeal 9.50 2008.07.31 - ClamAV 0.93.1 2008.08.01 - DrWeb 4.44.0.09170 2008.08.01 - eSafe 7.0.17.0 2008.07.29 - eTrust-Vet 31.6.6001 2008.08.01 - Ewido 4.0 2008.08.01 - F-Prot 4.4.4.56 2008.07.31 - F-Secure 7.60.13501.0 2008.08.01 - Fortinet 3.14.0.0 2008.08.01 - GData 2.0.7306.1023 2008.08.01 - Ikarus T3.1.1.34.0 2008.08.01 - K7AntiVirus 7.10.399 2008.07.31 - Kaspersky 7.0.0.125 2008.08.01 - McAfee 5351 2008.07.31 - Microsoft 1.3704 2008.07.28 - NOD32v2 3317 2008.08.01 - Norman 5.80.02 2008.08.01 - Panda 9.0.0.4 2008.08.01 - PCTools 4.4.2.0 2008.08.01 - Prevx1 V2 2008.08.01 - Rising 20.55.42.00 2008.08.01 - Sophos 4.31.0 2008.08.01 - Sunbelt 3.1.1537.1 2008.08.01 - Symantec 10 2008.08.01 - TheHacker 6.2.96.391 2008.07.31 - TrendMicro 8.700.0.1004 2008.08.01 - VBA32 3.12.8.2 2008.08.01 - ViRobot 2008.8.1.1321 2008.08.01 - VirusBuster 4.5.11.0 2008.07.31 - Webwasher-Gateway 6.6.2 2008.08.01 - weitere Informationen File size: 53080 bytes MD5...: f3e9065eb617a7e3a832a7976bfa021b SHA1..: 42262216cce49ee322d571d270abffcfdce55e6d SHA256: 46dafc715bc2bcbfd56a3b2bc3df1dd2c036893eab2e4fd6e4393e081054d50d SHA512: a43439e2737812501d8899e2c38f8735b0f5c1ccc5d99982cf3fb1d03765d5e1 5c5421ad54f55e446461eb3f0f7c7d3416e59fd82ab2527793f00c3ac5961fd1 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x404234 timedatestamp.....: 0x46ae8ef8 (Tue Jul 31 01:23:04 2007) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x8a28 0x8c00 5.99 011b966653f3c4a818a5ae0b39a44d40 .data 0xa000 0xd54 0x400 5.81 aea75c550ab527cbfba56bc33d16ea93 .rsrc 0xb000 0x798 0x800 4.49 51276793839194b59b4a69713dd86423 .reloc 0xc000 0xc86 0xe00 3.09 721f27a40116bc804f4b6c186c81d87c ( 6 imports ) > KERNEL32.dll: CreateFileW, CreateDirectoryW, GetFileAttributesW, ExpandEnvironmentStringsW, lstrlenW, CreateProcessW, VerSetConditionMask, VerifyVersionInfoW, OutputDebugStringW, WriteFile, FlushFileBuffers, GetModuleFileNameW, InterlockedIncrement, InterlockedDecrement, GetSystemTime, GetLastError, SetLastError, GetFileSize, CreateFileMappingW, MapViewOfFile, UnmapViewOfFile, SetFilePointer, SetEndOfFile, ReleaseMutex, WaitForSingleObject, CreateMutexW, CloseHandle, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, RtlUnwind, GetStartupInfoW, GetTimeZoneInformation, SystemTimeToTzSpecificLocalTime, GetSystemDirectoryW, LoadLibraryExW, GetDriveTypeW, GetVolumePathNameW, GetFileType, GetSystemInfo, GetModuleHandleW, CompareStringW, GetProcessHeap, HeapFree, HeapAlloc, GetCommandLineW, OpenEventW, FreeLibrary, GetProcAddress, WideCharToMultiByte, InterlockedExchange, Sleep, InterlockedCompareExchange > msvcrt.dll: __dllonexit, _unlock, _controlfp, _terminate@@YAXXZ, free, malloc, memmove, memcpy, memset, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, _wcmdln, exit, _XcptFilter, _lock, _cexit, __wgetmainargs, _vsnwprintf, _onexit, _exit > ole32.dll: CoGetObject, StringFromGUID2, CoTaskMemFree, CoUninitialize, CoCreateInstance, CoInitialize, CoInitializeEx > ADVAPI32.dll: AllocateAndInitializeSid, FreeSid, GetTokenInformation, DuplicateTokenEx, CheckTokenMembership, IsValidSid, CopySid, RegCreateKeyExW, RegSetValueExW, RegQueryValueExW, GetUserNameW, GetLengthSid, InitializeAcl, AddAccessAllowedAce, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegOpenKeyExW, RegCloseKey > OLEAUT32.dll: -, - > SHLWAPI.dll: StrRChrW, -, PathStripToRootW, PathIsRelativeW, StrChrW, PathIsRootW, PathIsUNCW ( 0 exports ) Zitat:
Zitat:
 2008-07-03 03:40 90112 --a------ C:\Qoobox\Quarantine\C\Programme\RichVideoCodec\InstallRegerLib.dll.vir 2008-08-01 15:58 54 --a------ C:\Qoobox\Quarantine\catchme.log 2008-08-01 15:59 0 --a------ C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-CFSServ.exe.reg.dat 2008-08-01 15:59 0 --a------ C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NDSTray.exe.reg.dat 2008-08-01 15:59 0 --a------ C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-TFncKy.reg.dat Zitat:
Vor ich MAM nochmals versuche muss ich das hier erst posten, sonst verliere ich komplett den Faden. PS. muss ich eigentlich Kaspersky ausschalten bevor ich Programme wie ComboFix, HighJack etc. betätige? Seit ich diese "Reinigung" heute mache, meldet Kaspersky sich oft und will das ich entweder "es" erlaube oder verbiete. Beispiel: "Zugriff auf Registrierung: HKEY_LOCAL_MASCHINE\s...Shell.Extension" "Prozess: (PID:2728)" Danke |
|
01.08.2008, 16:38
| #6 |
| | Trojaner löst alert aus und öffnet Download auf Firefox Hi, bitte die genannte Programme downloaden, dann offline gehen und Kaspersky bitte komplett abschalten. Dann Combofix noch mal laufen lassen, dann MAM. Danach Kaspersky wieder einschalten und online gehen und die logs posten... chris
__________________ --> Trojaner löst alert aus und öffnet Download auf Firefox |
|
01.08.2008, 17:32
| #7 |
| | Trojaner löst alert aus und öffnet Download auf Firefox ComboFix wieder gemacht (ohne Kaspersky). Leider kann ich immer noch nicht MAM installieren. Scheitert am selben Punkt. ComboFix 08-07-31.06 - Rainer 2008-08-01 17:52:02.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.241 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Rainer\Desktop\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2008-07-01 bis 2008-08-01 )))))))))))))))))))))))))))))) . 2008-07-18 10:17 . 2008-07-18 10:17 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Eigene Dateien 2008-07-18 10:16 . 2007-11-12 13:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Vorlagen 2008-07-18 10:16 . 2007-11-12 11:47 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Startmenü 2008-07-18 10:16 . 2007-11-12 11:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Netzwerkumgebung 2008-07-18 10:16 . 2008-08-01 17:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen 2008-07-18 10:16 . 2008-07-18 10:17 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Favoriten 2008-07-18 10:16 . 2007-11-12 11:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Druckumgebung 2008-07-18 10:16 . 2008-07-18 10:52 <DIR> dr-h----- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten 2008-07-18 10:16 . 2008-07-18 10:17 <DIR> d-------- C:\Dokumente und Einstellungen\Gast 2008-07-09 09:39 . 2008-07-09 09:39 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe 2008-07-09 09:39 . 2008-05-29 09:28 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll 2008-07-09 09:38 . 2008-07-25 12:50 <DIR> d-------- C:\Programme\TuneUp Utilities 2008 2008-07-09 09:37 . 2008-07-09 09:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-07-06 20:17 . 2008-07-06 20:20 <DIR> d-------- C:\LSPWLITE . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-01 15:56 34,345,504 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-08-01 15:55 1,002,272 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2008-08-01 13:49 469,640 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-08-01 13:49 100,820 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2008-08-01 13:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-08-01 09:49 --------- d-----w C:\Programme\The Bat! 2008-07-25 08:04 96,559 ----a-w C:\WINDOWS\system32\drivers\klin.dat 2008-07-25 08:04 87,855 ----a-w C:\WINDOWS\system32\drivers\klick.dat 2008-07-16 12:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJPLM 2008-06-26 13:01 --------- d-----w C:\Programme\Hewlett-Packard 2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-18 10:36 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll 2008-03-14 08:22 63,664 ----a-w C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\GDIPFONTCACHEV1.DAT . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe "The Bat! E-Mail Client by Ritlabs"=C:\Programme\The Bat!\thebat.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "CanonMyPrinter"=C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon "CanonSolutionMenu"=C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"= "C:\\Program Files\\Real\\RealPlayer\\realplay.exe"= R2 CAPI20;Eumex 504PC SE;C:\WINDOWS\system32\Drivers\CAPI20.SYS [2005-05-12 10:41] R2 DETEWECP;Telekom CapiPort;C:\WINDOWS\system32\drivers\detewecp.sys [2005-05-12 10:41] R2 IJPLMSVC;PIXMA Extended Survey Program;C:\Programme\Canon\IJPLM\IJPLMSVC.EXE [2007-04-13 18:20] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 15:58] R3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-07-09 09:39] S3 dtwmnic5;Telekom Eumex 504PC SE;C:\WINDOWS\system32\DRIVERS\dtwmnic5.sys [] S3 NETPPPOI;PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETPPPOI.SYS [] S3 TNPacket;T-Systems Nova Packet Capture Driver;C:\Programme\T-DSL SpeedManager\TNPACKET.SYS [] S3 ulisa;Telekom ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys [2005-05-12 10:41] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners . . ------- Zusätzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Rainer\Anwendungsdaten\Mozilla\Firefox\Profiles\bdclkupz.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://de.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de  fficial************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-01 17:56:24 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-08-01 18:00:15 ComboFix-quarantined-files.txt 2008-08-01 16:00:12 ComboFix2.txt 2008-08-01 14:01:38 Pre-Run: 6,234,611,712 Bytes frei Post-Run: 6,226,440,192 Bytes frei 102 --- E O F --- 2008-07-09 15:11:54 |
|
02.08.2008, 13:15
| #8 |
| | Trojaner löst alert aus und öffnet Download auf Firefox Aus Verzweiflung habe ich mich entschieden „Ignorieren“ anzuklicken als ich zum wiederholten Mal versuchte Anti-Malware zu installieren, auch wenn es nicht empfohlen wird. Es hat funktioniert und hier ist endlich das Log: Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1015 Windows 5.1.2600 Service Pack 2 12:57:29 02.08.2008 mbam-log-8-2-2008 (12-57-29).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 73297 Laufzeit: 31 minute(s), 5 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\richvideocodec.videocodec (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\richvideocodec.videocodec.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Hier ist der HijacjThis Log, den ich gemacht habe nach dem Malware. Muss ich jetzt „Fix it“ auch machen? Danke Danidi Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:06:10, on 02.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\Canon\IJPLM\IJPLMSVC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Virus und andere\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 1867 bytes |
|
03.08.2008, 15:45
| #9 |
| | Trojaner löst alert aus und öffnet Download auf Firefox Hi, nein, die RegKeys hat MAM entfernt... Was treibt der Rechner? chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
03.08.2008, 17:26
| #10 |
| | Trojaner löst alert aus und öffnet Download auf Firefox Der Rechner benimmt sich jetzt ganz normal, ist ruhig, etwas schneller und alle komischen Kleinigkeiten die eine längere Zeit genervt haben, sind jetzt auch erledigt. Ich bin Dir sehr dankbar für die tolle Unterstützung und Hilfe die ich bekommen habe. Herzlichen Dank !:aplaus: Danidi |
|
| Themen zu Trojaner löst alert aus und öffnet Download auf Firefox |
| adobe, alert, attention, bho, canon, download, excel, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, homepage, internet, internet explorer, log-datei, microsoft, neu, ordner, pdf, problem, programme, software, temp, trojan, trojaner, tuneup.defrag, windows, windows xp, öffnet |
Linear-Darstellung
