Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Werde "Trojan.Bat.Regger.b" nicht los!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.04.2009, 17:42   #1
Lulukasimir
 
Werde "Trojan.Bat.Regger.b" nicht los! - Beitrag

Werde "Trojan.Bat.Regger.b" nicht los!



Hi zusammen, habe mir vor kurzem den "Trojan.Bat.Regger.b" eingefangen, es scheint ein relativ hartnäckiges Kerlchen zu sein, da ich ihn nicht entfernt bekomme. Habe Windows Vista SP1 installiert mit den neuesten Sicherheitspatches, Kaspersky Internet Security 2009 drauf. Der Virus erscheint bei jedem Neustart und will nicht weggehen. Hier mal die LOG-File von Hijack This:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:37:35, on 11.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ASUS\Turbo Gear\GearHelp.exe
C:\Program Files\ASUS\Turbo Gear\TurboGear.exe
C:\Program Files\ASUS\Turbo Gear Enhanced VGA Driver\wbctlvga.exe
C:\Program Files\PowerForPhone\PowerForPhone\PowerForPhone.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ICQ6.5\ICQ.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Protector Suite QL\psqltray.exe
C:\Windows\system32\winoper.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Turbo Gear Help] "C:\Program Files\ASUS\Turbo Gear\GearHelp.exe"
O4 - HKLM\..\Run: [Turbo Gear] "C:\Program Files\ASUS\Turbo Gear\TurboGear.exe" -r
O4 - HKLM\..\Run: [Turbo Gear Enhanced VGA Driver] "C:\Program Files\ASUS\Turbo Gear Enhanced VGA Driver\wbctlvga.exe"
O4 - HKLM\..\Run: [PowerForPhone] C:\Program Files\PowerForPhone\PowerForPhone\PowerForPhone.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Program Files\Protector Suite QL\launcher.exe" /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [D-Link Network USB Utility] C:\Program Files\D-Link\SharePort Network USB Utility\SharePort Network USB Utility.exe -mini
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Manager System] winoper.exe
O4 - HKLM\..\Run: [Corel File Shell Monitor] C:\Program Files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunServices: [Windows Manager System] winoper.exe
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O15 - Trusted Zone: http://www.myspass.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASP ER~1\kloehk.dll
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Google Update Service (gupdate1c98bc2decf1ccd) (gupdate1c98bc2decf1ccd) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

--
End of file - 8849 bytes

Alt 11.04.2009, 17:45   #2
DJ-D
 
Werde "Trojan.Bat.Regger.b" nicht los! - Standard

Werde "Trojan.Bat.Regger.b" nicht los!



Lade Dir Malwarebytes hier runter, und befolge diese Anleitung. (Anleitung)

Danach stelle den Log hier ins Forum.
__________________

__________________

Alt 11.04.2009, 23:18   #3
RushHour777
Gesperrt
 
Werde "Trojan.Bat.Regger.b" nicht los! - Standard

Werde "Trojan.Bat.Regger.b" nicht los!



Hallo und


@DJ-D und @ Lulukasimir

es giebt auch etwas einfacheres undzwar das http://www.trojaner-board.de/69886-a...-beachten.html

bitte abarbeiten

so nun zu HijackThis einträge:

O4 - HKLM\..\Run: [Windows Manager System] winoper.exe

O4 - HKLM\..\RunServices: [Windows Manager System] winoper.exe

C:\Windows\system32\winoper.exe

winoper.exe das kann nichts gutes bedeuten

bitte fix check pc neustarten und ein frisches HijackThis logfile posten

ich weiß nicht ob du da durchblickst ****** Übersetzte Version von http://www.threatexpert.com/report.aspx?md5=b1af637ebbedd36bc2994f93ad86275c

* = muss nicht SEIN

bitte installiere auch noch SUPERAntiSpyware von hier

mfg RushHour777
__________________

Alt 11.04.2009, 23:31   #4
Lulukasimir
 
Werde "Trojan.Bat.Regger.b" nicht los! - Standard

Werde "Trojan.Bat.Regger.b" nicht los!



Hier die Log File:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1966
Windows 6.0.6001 Service Pack 1

11.04.2009 23:29:29
mbam-log-2009-04-11 (23-29-29).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 170822
Laufzeit: 1 hour(s), 52 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 14.04.2009, 10:06   #5
Lulukasimir
 
Werde "Trojan.Bat.Regger.b" nicht los! - Standard

Werde "Trojan.Bat.Regger.b" nicht los!



So nach den Feiertagen bin ich mal wieder dazu gekommen meinen Rechner einzuschalten ^^
Zitat:
Zitat von RushHour777 Beitrag anzeigen
winoper.exe das kann nichts gutes bedeuten
Ja das ist die Datei die bei jedem Start von Kaspersky gelöscht wird, generiert sich aber bei jedem Neustart wieder neu.
Zitat:
Zitat von RushHour777 Beitrag anzeigen
bitte fix check pc neustarten und ein frisches HijackThis logfile posten
Was meinst du mit "fix check pc"?
Zitat:
Zitat von RushHour777 Beitrag anzeigen
ich weiß nicht ob du da durchblickst
Nein, ehrlich gesagt nicht :X
Zitat:
Zitat von RushHour777 Beitrag anzeigen
bitte installiere auch noch superantispyware
Werd ich machen und danach poste ich nochmal ein HijackThis Logfile. Vielen Dank für deine Hilfe!!!


Alt 14.04.2009, 11:32   #6
RushHour777
Gesperrt
 
Werde "Trojan.Bat.Regger.b" nicht los! - Icon32

Werde "Trojan.Bat.Regger.b" nicht los!



Zitat:
Was meinst du mit "fix check pc"?
unten bei HijackThis steht ein butten (knopf) worauf steht fix checket

Zitat:
Nein, ehrlich gesagt nicht :X
musst du auch nicht

nach dem fix checked nochmal ein neues HijackThis logfile schicken sollten die einträge immer nolch da sein dies im abgesicherten modus machen

vergiss nicht GMER von hier Gmer - Download - CHIP Online

anleitung gmer

Gmer


* Donwloade Gmer
* Entpacke es auf dem Desktop
* Trenne dich physikalisch vom Internet (Lan Kabel ziehen)
* Schließe bitte alle Anwendungen, auch das Antivirusprogramm
* Starte den Scan mit GMER mit "Scan", mache in der Zeit nichts auch keine Mausbewegungen und Tastatureingaben
* Ist der Scan fertig, klicke auf "Copy" und poste dann hier deine Anwort in dem du den Log reinkopierst
* Beende GMER mit "OK"

und mach die systemwiederherrstellung aus im laufe der zeit können sich viren mitspeichern

hier die Anleitung:

Deaktivieren der Systemwiederherstellung

Windows XP:

* Start => Ausführen => sysdm.cpl eingeben => "OK" drücken
* Wähle den Reiter "Systemwiederherstellung"
* Einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen => "übernehmen" drücken
* Jetzt den PC booten, der Start kann eine Weile dauern
* Den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen und "OK" drücken

und das SUPERAntiSpyware log brauch ich noch


bis dahin mfg RushHour777

Alt 14.04.2009, 18:53   #7
Lulukasimir
 
Werde "Trojan.Bat.Regger.b" nicht los! - Standard

Werde "Trojan.Bat.Regger.b" nicht los!



Soo, habe den PC mal im abgesicherten Modus gestarte, habe HijackThis laufen lassen und die beiden Einträge:

O4 - HKLM\..\Run: [Windows Manager System] winoper.exe
O4 - HKLM\..\RunServices: [Windows Manager System] winoper.exe

markiert und gefixt, neugestartet GMER heruntergeladen und hier die Logfile:

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-14 18:46:59
Windows 6.0.6001 Service Pack 1

---- System - GMER 1.0.15 ----

INT 0x1F \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82234CD0
INT 0x37 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 822340E8
INT 0xC1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 822343D8
INT 0xD1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8221FD64
INT 0xD2 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8222001C
INT 0xDF \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 822341C0
INT 0xE1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82234B40
INT 0xE3 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 822346D4
INT 0xFD \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82235100
INT 0xFE \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8223536C

---- User code sections - GMER 1.0.15 ----

? C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[1648] C:\Windows\system32\kernel32.dll time/date stamp mismatch; unknown module: 32.dll
.text C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[1648] USER32.dll!GetAppCompatFlags2 + 880 75826390 4 Bytes [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }
? C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[2896] C:\Windows\system32\kernel32.dll time/date stamp mismatch; unknown module: 32.dll
.text C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[2896] USER32.dll!GetAppCompatFlags2 + 880 75826390 4 Bytes [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }

---- Devices - GMER 1.0.15 ----

Device \Driver\ACPI_HAL \Device\00000040 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\tdx \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001d6012038a
Reg HKLM\SYSTEM\ControlSet010\Services\BTHPORT\Parameters\Keys\001d6012038a

---- Files - GMER 1.0.15 ----

File C:\Windows\System32\wfp\wfpdiag.etl (size mismatch) 65536/0 bytes

---- EOF - GMER 1.0.15 ----


Es sieht zumindest für so aus als ob der Trojaner weg wäre, Kaspersky meldet beim Hochfahren auch nicht mehr die winoper.exe

Ist es denn jetzt ratsam den PC trotz alledem neu aufzusetzten oder Passwörter zu ändern, wenn ja welche?

Im Voraus besten Dank für deine Hilfe!

Alt 14.04.2009, 20:50   #8
RushHour777
Gesperrt
 
Werde "Trojan.Bat.Regger.b" nicht los! - Standard

Werde "Trojan.Bat.Regger.b" nicht los!



Zitat:
Es sieht zumindest für so aus als ob der Trojaner weg wäre, Kaspersky meldet beim Hochfahren auch nicht mehr die winoper.exe
es sieht so aus kann aber sein das manches noch da ist wie gesagt es bleibt ein risiko

Zitat:
Ist es denn jetzt ratsam den PC trotz alledem neu aufzusetzten oder Passwörter zu ändern, wenn ja welche?
am besten alle passwörter (nach dem formatieren) sonst bringts nicht

es ist immer gut seinen pc zu Neuaufsetzen selbst wenn alle antiviren programme nichts anzeigen kann es dennoch sein kann das was da ist

du kannst jeder zeit aussteigen und wenn wir die bereinigung selbst abgeschlossen haben kannst du immernoch formatieren

es giebt keine garantie das dein pc sauber ist hacker sind zu allen fähig

so jetzt weiter

Deaktivieren der Systemwiederherstellung

Windows XP:

* Start => Ausführen => sysdm.cpl eingeben => "OK" drücken
* Wähle den Reiter "Systemwiederherstellung"
* Einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen => "übernehmen" drücken
* Jetzt den PC booten, der Start kann eine Weile dauern
* Den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen und "OK" drücken

download SUPERAntiSpyware von *hier* und schicke das SUPERAntiSpyware logfile

und poste bitte noch ein neues HijackThis logfile

biss dann mfg RushHour777

Alt 15.04.2009, 07:28   #9
Lulukasimir
 
Werde "Trojan.Bat.Regger.b" nicht los! - Standard

Werde "Trojan.Bat.Regger.b" nicht los!



Guten Morgen,

habe über Nacht SUPERAntiSpyware laufen lassen, hier ist die Logfile:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/14/2009 at 11:28 PM

Application Version : 4.26.1000

Core Rules Database Version : 3843
Trace Rules Database Version: 1798

Scan type : Complete Scan
Total Scan Time : 01:02:40

Memory items scanned : 689
Memory threats detected : 0
Registry items scanned : 6260
Registry threats detected : 0
File items scanned : 113059
File threats detected : 4

Adware.Tracking Cookie
C:\Users\******\AppData\Roaming\Microsoft\Windows\Cookies\******@adserver.71i[1].txt
C:\Users\******\AppData\Roaming\Microsoft\Windows\Cookies\******@atwola[1].txt
C:\Users\******\AppData\Roaming\Microsoft\Windows\Cookies\******@ad.71i[1].txt
C:\Users\******\AppData\Roaming\Microsoft\Windows\Cookies\******@msnaccountservices.112.2o7[1].txt


Davor habe ich nochmal HijackThis laufen lassen, hier die Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:21:58, on 14.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ASUS\Turbo Gear\GearHelp.exe
C:\Program Files\ASUS\Turbo Gear\TurboGear.exe
C:\Program Files\ASUS\Turbo Gear Enhanced VGA Driver\wbctlvga.exe
C:\Program Files\PowerForPhone\PowerForPhone\PowerForPhone.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Program Files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ICQ6.5\ICQ.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Protector Suite QL\psqltray.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Turbo Gear Help] "C:\Program Files\ASUS\Turbo Gear\GearHelp.exe"
O4 - HKLM\..\Run: [Turbo Gear] "C:\Program Files\ASUS\Turbo Gear\TurboGear.exe" -r
O4 - HKLM\..\Run: [Turbo Gear Enhanced VGA Driver] "C:\Program Files\ASUS\Turbo Gear Enhanced VGA Driver\wbctlvga.exe"
O4 - HKLM\..\Run: [PowerForPhone] C:\Program Files\PowerForPhone\PowerForPhone\PowerForPhone.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Program Files\Protector Suite QL\launcher.exe" /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [D-Link Network USB Utility] C:\Program Files\D-Link\SharePort Network USB Utility\SharePort Network USB Utility.exe -mini
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Corel File Shell Monitor] C:\Program Files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O15 - Trusted Zone: http://www.myspass.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASP ER~1\kloehk.dll
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Google Update Service (gupdate1c98bc2decf1ccd) (gupdate1c98bc2decf1ccd) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

--
End of file - 8752 bytes


Ich hoffe das wars soweit erst einmal, den Rechner werde ich denke ich mal im Laufe des Monats neu aufsetzten. Danke auf jeden Fall für deine Hilfe!!!

Alt 16.04.2009, 14:02   #10
Lulukasimir
 
Werde "Trojan.Bat.Regger.b" nicht los! - Standard

Werde "Trojan.Bat.Regger.b" nicht los!



Hi, wollte nicht nerven - nur nochmal nachfragen ob die Log-File ok war.

MfG Lulukasimir

Alt 16.04.2009, 15:22   #11
RushHour777
Gesperrt
 
Werde "Trojan.Bat.Regger.b" nicht los! - Standard

Werde "Trojan.Bat.Regger.b" nicht los!



ja alles sauber bei dem SUPERAntiSpyware log sindn 4 sachen gefunden sie sind nicht schädlich das sind nur cookies ich glaube die sind dafür da das die internetseiten gespeichert werden jetzt musst du nurnoch ccleaner über dein system jagen

und nerven tust du auf keinen fall

mfg RushHour777

Alt 17.04.2009, 14:27   #12
Lulukasimir
 
Werde "Trojan.Bat.Regger.b" nicht los! - Standard

Werde "Trojan.Bat.Regger.b" nicht los!



Ok THX! Werde CCleaner installieren und das Kapitel dann endgültig abschließen

Vielen Dank nochmal :aplaus::aplaus::aplaus:

Antwort

Themen zu Werde "Trojan.Bat.Regger.b" nicht los!
adobe, avp, avp.exe, bho, defender, explorer, firefox, google update, gupdate, hijack, hijack this, hijackthis, internet, internet explorer, internet security, kaspersky, mozilla, neustart, object, rundll, schutz, security, senden, software, system, tuneup.defrag, tuprogst.exe, usb, virus, vista, will nicht, windows, windows defender, windows sidebar



Ähnliche Themen: Werde "Trojan.Bat.Regger.b" nicht los!


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. lollipop werde ich nicht los, trotz Einsatz aller angeblich so tollen Antiviernprogramme postiver Erkennung unter "Schrauber "
    Log-Analyse und Auswertung - 24.11.2014 (21)
  3. Ich werde "Awesomehp" als Browserstartseite nicht los
    Log-Analyse und Auswertung - 01.02.2014 (11)
  4. Werde "PUP.Optional.Conduit.A" nicht los.
    Log-Analyse und Auswertung - 01.12.2013 (19)
  5. Ich werde "imp.js von tracker.tradedoubler.com" nicht los
    Plagegeister aller Art und deren Bekämpfung - 17.03.2013 (13)
  6. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  7. "Licensevalidator.exe" u.A.: ESET meldet "Win32/Kryptik.ADPW trojan" sowie "Win32/Gataka.A trojan"
    Log-Analyse und Auswertung - 12.04.2012 (21)
  8. Malwarereinigung: "TR/Kazy.25747.40", "Trojan.Downloader..." und "Backdoor: Win32Cycbot.B"
    Log-Analyse und Auswertung - 09.06.2011 (1)
  9. "0.05870814618642739.exe" ("Win32:Trojan-gen") in "C:\Users\***\AppData\Local\Temp\"
    Plagegeister aller Art und deren Bekämpfung - 02.01.2011 (25)
  10. Werde den fake-Virenscanner "Antivirus Soft" nicht los
    Plagegeister aller Art und deren Bekämpfung - 19.05.2010 (3)
  11. Werde "Malware Defense" nicht richtig los
    Plagegeister aller Art und deren Bekämpfung - 18.01.2010 (11)
  12. AVG findet "Trojan horse Generic15.EAM", Antimalware "Trojan.Agent" + "Rootkit.Agent"
    Plagegeister aller Art und deren Bekämpfung - 03.11.2009 (13)
  13. "RECYCLER konnte nicht gefunden werde" - kann nicht auf C: zugreifen
    Plagegeister aller Art und deren Bekämpfung - 16.03.2009 (10)
  14. Werde "Ungeziefer" nicht los!
    Plagegeister aller Art und deren Bekämpfung - 31.03.2005 (4)
  15. Hilfe ich werde das "Vieh" nicht los!
    Log-Analyse und Auswertung - 28.07.2004 (1)
  16. Werde "Trojan.Win32.StartPage.ix" nicht mehr los!!!
    Log-Analyse und Auswertung - 23.06.2004 (2)
  17. werde "schädling" nicht los :-((
    Plagegeister aller Art und deren Bekämpfung - 08.03.2004 (12)

Zum Thema Werde "Trojan.Bat.Regger.b" nicht los! - Hi zusammen, habe mir vor kurzem den "Trojan.Bat.Regger.b" eingefangen, es scheint ein relativ hartnäckiges Kerlchen zu sein, da ich ihn nicht entfernt bekomme. Habe Windows Vista SP1 installiert mit den - Werde "Trojan.Bat.Regger.b" nicht los!...
Archiv
Du betrachtest: Werde "Trojan.Bat.Regger.b" nicht los! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.