| |
| |||||||
Log-Analyse und Auswertung: Trojaner kommen nach reboot wiederWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
15.08.2008, 16:04
| #1 |
 |  Trojaner kommen nach reboot wieder Hallo, ich hoffe ihr könnt mir helfen: Ich habe ne Flashplayer für mein Browser loaden wollen, leider entpupte sich die Exe als Trojaner. Ich habe mit Spyware und auch schon mit Malwarebytes versucht die Trojaner wieder loszuwerden, jedoch sind sie nach jedem boot einfach wieder da. Die spyware versucht mit die ganze Zeit Antiviren-Programme zu verkaufen, und färbt meinen Hintergrund Blau. Taskmanager und Hintergrundgrafik-Eigenschaften lassen sich erst nach löschen der Viren mit Spyware öffnen. Aber das Problem beheben tuts ja nicht  Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:54:33, on 15.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Programme\Ad-Aware\aawservice.exe D:\AntiVir PersonalEdition Classic\avguard.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vqbchqns\bedchqfi.exe C:\WINDOWS\system32\Rundll32.exe D:\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\netdde.exe C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\Winamp\winampa.exe D:\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\UMonit.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\WINDOWS\system32\lphc9t2j0e36p.exe C:\WINDOWS\Common\obsboxib.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe D:\Programme\DAEMON Tools\daemon.exe C:\WINDOWS\system32\kporodod.exe C:\WINDOWS\system32\wscntfy.exe D:\Programme\QIP\qip.exe C:\Programme\Winamp\winamp.exe C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe D:\Teamspeak2_RC2\TeamSpeak.exe C:\WINDOWS\explorer.exe D:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\kporodod.exe C:\Dokumente und Einstellungen\Stucki\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.qip.ru R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [avgnt] "D:\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime Alternative\QTTask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\UMonit.exe O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "D:\Programme\RivaTuner v2.09\RivaTuner.exe" /S O4 - HKLM\..\Run: [lphc9t2j0e36p] C:\WINDOWS\system32\lphc9t2j0e36p.exe O4 - HKLM\..\Run: [SMrhcct2j0e36p] C:\Programme\rhcct2j0e36p\rhcct2j0e36p.exe O4 - HKLM\..\Run: [monweb] C:\WINDOWS\Common\obsboxib.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [StatBar] C:\Programme\Globe Software\StatBar\StatBar.exe O4 - HKCU\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [srvsmart] C:\WINDOWS\system32\kporodod.exe O4 - HKLM\..\Policies\Explorer\Run: [4QCg11LG0F] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vqbchqns\bedchqfi.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{B3F78FA9-B259-45A6-A381-754B2ADCF7A4}: NameServer = 192.168.0.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O21 - SSODL: WebMsg - {26245F6A-4267-C161-ED30-09100AEB6DB0} - C:\Programme\yqpfwoc\WebMsg.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing) -- End of file - 6383 bytes |
|
15.08.2008, 18:45
| #2 | |
| /// AVZ-Toolkit Guru   | Trojaner kommen nach reboot wieder Halli hallo stucki
__________________ Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
Deinstalliere bitte AdAware! Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"! * Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen. Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)
__________________ |
|
16.08.2008, 10:58
| #3 | |
| | Trojaner kommen nach reboot wiederZitat:
|
|
17.08.2008, 16:55
| #4 |
| /// AVZ-Toolkit Guru | Trojaner kommen nach reboot wieder Was ist mit den Anderen Dateien/Auswertungen? Poste die bitte wie beschrieben. Zur obsboxib.exe: Mache bitte eine Kopie der Datei und benne sie um in obsboxib.#vir#exe Diese schicke per Mail oder Uploader an Virustotal. http://www.virustotal.com/de/metodos.html
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
22.08.2008, 13:38
| #5 | |||
| | Trojaner kommen nach reboot wiederZitat:
Zitat:
Habe neuerdings in meinem Taskmanager auch sowas : Zitat:
|
|
22.08.2008, 14:50
| #6 |
| | Trojaner kommen nach reboot wieder für letzteres habe ich folgendes gefunden. das bezieht sich zwar nur auf eine davon, aber dürfte äquivalent auf alle anderen anwendbar sein: 1. Temporarily Disable System Restore . 2. Update the virus definitions. Reboot computer in SafeMode,; 3.Stop 60325CAHP25CAA.EXE removal virus files process if you can find on the task list; 4. Locate 60325CAHP25CAA.EXE removal virus files and double-click on it to uninstall virus files program. Follow the screen step-by-step screen instructions to complete uninstallation of 60325CAHP25CAA.EXE removal. Do not worry about this if you cannot find it in Add/Remove window. 5. Delete/Modify any values added to the registry related with 60325CAHP25CAA.EXE removal,Exit registry editor and restart the computer; 6.Clean/delete all infected file(s):60325CAHP25CAA.EXE removal,or rename 60325CAHP25CAA.EXE removal virus files; 7.Please delete all your IE temp files manually 8.Use antivirus program run a whole scan |
|
22.08.2008, 15:27
| #7 |
| /// AVZ-Toolkit Guru | Trojaner kommen nach reboot wieder Stucki, lade uns die obsboxib._vir_exe bitte auf den Server hoch. Das scheint was ganz neues zu sein was da bei dir im System sitzt.. Anleitung:UploadChannel
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
22.08.2008, 17:51
| #8 |
| | Trojaner kommen nach reboot wieder Habe es mit vtsetup.exe hochgeladen. Muss ich da lange warten? @Olle, kannst du mir das bitte langsam und auf deutsch erklären? Wäre sehr nett! |
|
22.08.2008, 18:44
| #9 | |
| /// AVZ-Toolkit Guru | Trojaner kommen nach reboot wiederZitat:
 Das weiss ich. Aber du sollst es uns auf unseren Server hochladen.!. LIES was ich dir poste! Die Anleitung hast du nichtmal angeguckt oder?
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
22.08.2008, 22:50
| #10 |
| | Trojaner kommen nach reboot wieder Juhu, kleine englisch-stunde  1. Temporarily Disable System Restore . (Systemwiederherstellung deaktivieren (-> Start->programme-> zubehör-> systemprogramme-> sytemwiederherstellung. da auf den link: systemiederherstellungseinstellungen. und da einen haken machen bei deaktiveren) 2. Update the virus definitions. Reboot computer in SafeMode, (dein antivir und was du snst so hast updaten. windows auch unbedingt und SP3 (bei xp) bzw. SP1 (bei vista) draufmachen. dann im abgesicherten modus neustarten) 3.Stop 60325CAHP25CAA.EXE removal virus files process if you can find on the task list; (task manager öffnen und das ding beenden) 4. Locate 60325CAHP25CAA.EXE removal virus files and double-click on it to uninstall virus files program. Follow the screen step-by-step screen instructions to complete uninstallation of 60325CAHP25CAA.EXE removal. Do not worry about this if you cannot find it in Add/Remove window. (ich weiß net genau, wo das zu finden ist. ich denke mal bei den installierten progs (start-> einstellungen-->systemsteuerung--> software) dann einfach deinstallieren 5. Delete/Modify any values added to the registry related with 60325CAHP25CAA.EXE removal,Exit registry editor and restart the computer; (deine registry aufräumen. alles was mit den dateien zu tun hat rauslöschen, dann den rechner neu starten) 6.Clean/delete all infected file(s):60325CAHP25CAA.EXE removal,or rename 60325CAHP25CAA.EXE removal virus files; alle exe dateien löschen, die du in deinem task manager hattest: C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25cas.ex e C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25car.ex e C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25caq.ex e C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25cap.ex e C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25cao.ex e C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25cai.ex e C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25cah.ex e C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25cag.ex e C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25caf.ex e C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25cae.ex e C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25cad.ex e C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25cac.ex e C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25cab.ex e C:\DOKUME~1\Stucki\LOKALE~1\Temp\60325cahp25caa.ex e 7.Please delete all your IE temp files manually najut das erklärt sich von selbst. du sollst deine IE temporary files löschen 8.Use antivirus program run a whole scan dann dein antivir drüber laufen lassen und hoffen, dass alles eklappt hat |
|
23.08.2008, 10:37
| #11 | |
| | Trojaner kommen nach reboot wiederZitat:
@Olle Ich finde die Datein oder Ähnliches nicht in meiner Software Dann einfach im besagten Verzeichnis löschen? |
|
23.08.2008, 10:46
| #12 |
| | Trojaner kommen nach reboot wieder joa, was nicht da ist, ist nicht da... warum auch immer. die exe dann von hand löschen, evtl wurde sie noch nicht ausgeführt oder so... |
|
23.08.2008, 12:42
| #13 | |
| | Trojaner kommen nach reboot wieder Ok, soweit so gut, hiermal ein aktueller Hjackthislog. Zitat:
|
|
23.08.2008, 13:03
| #14 |
| | Trojaner kommen nach reboot wieder es werden tatsächlich mehr. O4 - HKLM\..\Run: [UpdateWin] C:\WINDOWS\system32\A3dz.exe O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\winlogon.exe O4 - HKLM\..\Run: [netsv32] C:\WINDOWS\sv.exe O4 - HKLM\..\Run: [netzip] C:\WINDOWS\svzip.exe O4 - HKLM\..\Run: [net64] C:\WINDOWS\svhoster.exe O4 - HKLM\..\Run: [vlc] C:\WINDOWS\vlc.exe O4 - HKLM\..\Run: [netx] C:\WINDOWS\svx.exe O4 - HKLM\..\Run: [netw] C:\WINDOWS\svw.exe O4 - HKLM\..\Run: [netc] C:\WINDOWS\svc.exe O4 - HKLM\..\RunServices: [UpdateWin] C:\WINDOWS\system32\A3dz.exe O4 - HKCU\..\Run: [UpdateWin] C:\WINDOWS\system32\A3dz.exe O4 - HKCU\..\RunServices: [UpdateWin] C:\WINDOWS\system32\A3dz.exe O4 - HKLM\..\Policies\Explorer\Run: [4QCg11LG0F] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vqbchqns\bedchqfi.exe die kannste mal alle bei http://www.virustotal.com hochladen und prüfen lassen. und die logs posten Edit: An ein Neuaufsetzen des Systems ist nicht zu denken? Ich glaube fast, das dürfte stressfreier sein... |
|
23.08.2008, 13:18
| #15 |
| /// AVZ-Toolkit Guru | Trojaner kommen nach reboot wieder Wer führt die Bereinigung hier jetzt eigentlich?  Bevor hier weiter irgendetwas gemacht wird wartet bitte auf die Auswertung des Virenlabors..
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
| Themen zu Trojaner kommen nach reboot wieder |
| ad-aware, adobe, avira, bho, browser, desktop, einstellungen, exe, explorer, firefox, helfen, hijack, hijackthis, internet, internet explorer, launch, mozilla, mozilla firefox, problem, rundll, software, spyware, system, taskmanager, teamspeak, trojaner, unknown file in winsock lsp, windows, windows xp |
