Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: fakevirus deaktivierung von windows script host

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 31.08.2008, 12:15   #1
Hubby
 
fakevirus deaktivierung von windows script host - Standard

fakevirus deaktivierung von windows script host



hi, ich habe mir gestern einen fakevirus eingefangen.

Mein Betriebssystem: WindowsXP
Benutzte Antiviren Programme: Avira Antivir, Spybot Search and Destroy,
Smitfraudfix, ZoneAlarm, PandaAntivirus2009

Die Programme konnten alles löschen, jedoch kommen nach jedem neustart diese 2viren immer wieder und haben sich in folgendem ordner eingenistet:

C:\Windows\system32\phc3l3j0ejbl.bmp
C:\Windows\system32\sysrest.sys

Diese 2 werde ich nicht los, habe avira antivir schon 3-4mal laufen lassen aber genau die beiden findet er immer wieder.
Im abgesicherten modus hab ichs auch schon probiert.

Was der fakevirus macht ist folgendes:

Wirklich schädlich scheint er nicht zu sein, denn das system hängt sich nicht auf es wird lediglich etwas langsamer weil statt 25-30prozesse nun bis zu über 40stück laufen.
Nach jedem neustart bekomme ich auch diese Fehlermeldung:

Windows Script host wurde deaktiviert wenden sie sich an den administrator.
Die hintergrundbildfunktion wurde deaktiviert und der fakevirus besitzt ein hintergrundbild welches nach jedem neustart erscheint.
Da drauf steht:

Windows Warning message

Warning! Win32/Adware.Virtumonde Detected on your Computer
Warning! Win32/PrivacyRemover.M64 Detected on your Computer


Kann mir da bitte jemand helfen den lässtigen fakevirus loszuwerden ?^^

Alt 31.08.2008, 12:21   #2
myrtille
/// TB-Ausbilder
 
fakevirus deaktivierung von windows script host - Standard

fakevirus deaktivierung von windows script host



Hi,

lade dir bitte Malwarebytes herunter und lasse es dein System bereinigen. Poste das Log anschließend hier.
Erstelle bitte außerdem noch mit HijackThis ein Log und poste das ebenfalls hier.

lg myrtille
__________________

__________________

Alt 31.08.2008, 14:30   #3
Hubby
 
fakevirus deaktivierung von windows script host - Standard

fakevirus deaktivierung von windows script host



Der fakevirus scheint beseitigt worden zu sein, hätte nicht damit gerechnet^^

Vielen dank



Malwarelog:


Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1101
Windows 5.1.2600 Service Pack 2

15:09:07 31.08.2008
mbam-log-08-31-2008 (15-09-02).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|)
Durchsuchte Objekte: 65918
Laufzeit: 16 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 11
Infizierte Dateien: 20

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\rhc7l3j0ejbl (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc3l3j0ejbl (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhc7l3j0ejbl (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhc7l3j0ejbl (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhc7l3j0ejbl\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhc7l3j0ejbl\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhc7l3j0ejbl\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhc7l3j0ejbl\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhc7l3j0ejbl\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhc7l3j0ejbl\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhc7l3j0ejbl\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhc7l3j0ejbl\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhc7l3j0ejbl\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhc7l3j0ejbl\Quarantine\Packages (Rogue.Multiple) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\blphc3l3j0ejbl.scr (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.tt8.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.ttA.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.ttB.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\lphc3l3j0ejbl.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\phc3l3j0ejbl.bmp (Trojan.FakeAlert) -> No action taken.






Hijack log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:24:37, on 31.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\programme\advanced system optimizer\memtuneup.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.rebirthro.com/?p=mod&mod=vote
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Security\Panda Antivirus Pro 2009\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Security\Panda Antivirus Pro 2009\Inicio.exe"
O4 - HKLM\..\Run: [lphc3l3j0ejbl] C:\WINDOWS\system32\lphc3l3j0ejbl.exe
O4 - HKLM\..\Run: [SMrhc7l3j0ejbl] C:\Programme\rhc7l3j0ejbl\rhc7l3j0ejbl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Systweak Memory Optimizer] c:\programme\advanced system optimizer\memtuneup.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

--
End of file - 6159 bytes




mfg Hubby^^
__________________

Alt 31.08.2008, 14:40   #4
myrtille
/// TB-Ausbilder
 
fakevirus deaktivierung von windows script host - Standard

fakevirus deaktivierung von windows script host



Hi,

hast du die Funde von Malwarebytes löschen lassen?

Die Einträge sind im Hijackthislog immernoch vorhanden.

Starte bitte deinen Rechner mal neu und erstelle dann eine neues Hijackthislog sowie ein FileListingmit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 31.08.2008, 15:22   #5
Hubby
 
fakevirus deaktivierung von windows script host - Standard

fakevirus deaktivierung von windows script host



kein thema^^ hab das mit dem filelisting script net so ganz verstanden xD



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:27:24, on 31.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\programme\advanced system optimizer\memtuneup.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gravity\RagnarokOnline\ragexe.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.rebirthro.com/?p=mod&mod=vote
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Security\Panda Antivirus Pro 2009\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Security\Panda Antivirus Pro 2009\Inicio.exe"
O4 - HKLM\..\Run: [lphc3l3j0ejbl] C:\WINDOWS\system32\lphc3l3j0ejbl.exe <----
O4 - HKLM\..\Run: [SMrhc7l3j0ejbl] C:\Programme\rhc7l3j0ejbl\rhc7l3j0ejbl.exe <---- die beiden müssten die virusse sein^^
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Systweak Memory Optimizer] c:\programme\advanced system optimizer\memtuneup.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

--
End of file - 5134 bytes


Geändert von Hubby (31.08.2008 um 15:31 Uhr)

Alt 31.08.2008, 15:24   #6
myrtille
/// TB-Ausbilder
 
fakevirus deaktivierung von windows script host - Standard

fakevirus deaktivierung von windows script host



Heya,

das Hijackthislog bitte hier posten und das Log vom Filelisting bei file-upload hochladen.

Sorry wenn cih da etwas unklar war.

lg myrtille
__________________
--> fakevirus deaktivierung von windows script host

Alt 01.09.2008, 15:15   #7
Hubby
 
fakevirus deaktivierung von windows script host - Standard

fakevirus deaktivierung von windows script host



habe den virus nun entgültig gelöscht dank dem malware programm,

dank dir myrtille^^

Antwort

Themen zu fakevirus deaktivierung von windows script host
abgesicherten, abgesicherten modus, avira, avira antivir, betriebssystem, deaktiviert, detected, fehlermeldung, folge, helfen, hängt, immer wieder, langsamer, löschen, neustart, ordner, programme, prozesse, script, smitfraudfix, spybot, spybot search and destroy, system hängt, system32, warning, win32/adware.virtumonde, win32/privacyremover.m64, windows, windows script host, zonealarm



Ähnliche Themen: fakevirus deaktivierung von windows script host


  1. Windows 7: Trojan.Script.472335
    Log-Analyse und Auswertung - 25.03.2015 (1)
  2. Script-Host konnte nicht initialisiert werden
    Plagegeister aller Art und deren Bekämpfung - 14.12.2014 (5)
  3. Windows 7: Trojanerfund durch Microsoft Security,extrem langsamer PC, Deaktivierung der Firewall
    Log-Analyse und Auswertung - 11.11.2014 (34)
  4. Windows Script Host
    Plagegeister aller Art und deren Bekämpfung - 06.06.2014 (1)
  5. Automatische Deaktivierung des Windows Sicherheitscenter & Spracherkennungsfehler
    Plagegeister aller Art und deren Bekämpfung - 07.10.2013 (18)
  6. GVU-Trojaner plus Win Script Host Fehlermeldung
    Plagegeister aller Art und deren Bekämpfung - 01.03.2013 (11)
  7. UKASH in Verbindung mit Windows Script Host
    Plagegeister aller Art und deren Bekämpfung - 31.01.2013 (5)
  8. Google Suchergebnisse führen auf Werbeseiten, sowie dauerhafte Deaktivierung Windows Sicherheitscenter
    Log-Analyse und Auswertung - 10.01.2013 (5)
  9. Umleitung auf rocketnews und Deaktivierung Windows Sicherheitsdienst
    Plagegeister aller Art und deren Bekämpfung - 10.06.2012 (28)
  10. Fakevirus Smart HDD scheint Festplatten zu löschen - was tun?
    Plagegeister aller Art und deren Bekämpfung - 05.04.2012 (1)
  11. Kein zugrif auf Host file beim scan C:7windows/system327driver/etc/host
    Log-Analyse und Auswertung - 09.11.2010 (1)
  12. Taskmanager, Registry, Windows Host Script.. alles gesperrt?!
    Plagegeister aller Art und deren Bekämpfung - 17.01.2010 (9)
  13. fehlermeldung nach starten des pc...Windows Script Host...?
    Log-Analyse und Auswertung - 14.01.2009 (0)
  14. windows script host shell object
    Plagegeister aller Art und deren Bekämpfung - 23.04.2008 (12)
  15. Windows Script Horst Shell
    Plagegeister aller Art und deren Bekämpfung - 22.04.2008 (5)
  16. Windows Scripting Host
    Diskussionsforum - 29.09.2006 (3)
  17. Windows Script Host
    Alles rund um Windows - 30.07.2005 (2)

Zum Thema fakevirus deaktivierung von windows script host - hi, ich habe mir gestern einen fakevirus eingefangen. Mein Betriebssystem: WindowsXP Benutzte Antiviren Programme: Avira Antivir, Spybot Search and Destroy, Smitfraudfix, ZoneAlarm, PandaAntivirus2009 Die Programme konnten alles löschen, jedoch kommen - fakevirus deaktivierung von windows script host...
Archiv
Du betrachtest: fakevirus deaktivierung von windows script host auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.