|
TR/Agent.dkld Trojanisches Pferd - Avira Hallo, bin neu hier, habe ein ähnliches Problem wie Maruni (http://www.trojaner-board.de/79806-t...hes-pferd.html), einen Trojaner (TR/Agent.dkld) der bei antivir angemäkelt wird und dauernd neue "Ableger" kreiert. Bekomme die Meldungen von antivir nicht weg und den Trojaner natürlich auch nicht. Habe schon rsit durchgeführt und die Ergebnisse angehängt. Kann mir jemand weiterhelfen? Grüße |
Hallo und :hallo: Malwarebytes noch nicht ausgeführt? Wenn nciht bitte nachholen, anonsten das Log nachreichen. Auch das von AntiVir bitte. |
Hallo, ccleaner durchgeführt, registry.txt hängt an. Außer der antivir-Meldung eine weitere datei, die sich nicht bereinigen lässt. Beim Öffnen von malwarebytes bekomme ich eine Fehlermeldung, dass er eine dll nicht importieren kann: is-CREGR.tmp\mbam.dll Wenn ich antivir direkt auf die Datei anwende, bringt das Programm keine "Fehler"-Meldung. Der antivir-Guard meldet das trojanische Pferd TR/Agent.dkld Hoffe das hat soweit geholfen? Grüße Iwan17 |
Liste der Anhänge anzeigen (Anzahl: 2) Hier noch 2 screenshots der Meldungen! |
Hm ist das ein Bürorechner, so rein zufällig? |
Was heisst "Bürorechner"? |
Kein privater Rechner, sondern der (im Büro) beruflich genutzt wird! |
Der Rechner wird hauptsächlich privat genutzt, bin nebenher freiberuflich ab und zu tätig. Über den Rechner läuft v.a. der e-mail-verkehr und neuerdings ist auch ein Steuerprogramm drauf. |
Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: registry keys to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken |
Hi, habe das soweit durchgeführt. der upload hat ewig gedauert bzw. läuft noch oder ist er mit der Zahlenreihe 1199794898.1271171469 schon fertig? der Balken ist vollständig blau und beinhaltet "undefined", aber man könnte den upload noch mit einem Button abbrechen?? Ist mein Ordner aKABS_GIS jetzt endgültig gelöscht? Grüße |
Oh, brauchste Du den Ordner noch? Für den Fall der Fälle legt Avenger ein Backup an in c:\avenger\backup.zip |
Ja, bin immer noch dabei den file-upload zu machen. Vielleicht klappts diesmal? |
Dann brich den Download ab, wenn die backup.zip zu groß ist, ich hab den o.g. Ordner für schädlich gehalten :o Du kannst die backup.zip entpacken, das Passwort ist infected dann hast Du den wichtigen Ordner wieder. Mach danach mal bitte ein Log mit CF, das Tool nimmt ist enorm viel Arbeit ab: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Liste der Anhänge anzeigen (Anzahl: 2) Hi, außer dem avira-Teil ist noch folgendes/angehängtes nach der Reinigung übriggeblieben. Hier das Cofi-Zeug: ComboFix 10-04-13.02 - Administrator 13.04.2010 22:17:53.1.1 - x86 Microsoft Windows 2000 Professional 5.0.2195.4.1252.49.1031.18.511.176 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\CoFi.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\winnt\system\oeminfo.ini c:\winnt\system32\win.ini c:\winnt\Web\default.htt c:\winnt\system32\comres.dll . . . ist infiziert!! c:\winnt\system32\comres.dll . . . ist infiziert!! . ((((((((((((((((((((((( Dateien erstellt von 2010-03-13 bis 2010-04-13 )))))))))))))))))))))))))))))) . 2010-04-13 19:40 . 2010-04-13 19:41 -------- d-----w- C:\aKABS_GIS 2010-04-13 14:58 . 2010-04-13 14:58 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_390.dat 2010-04-13 14:56 . 2010-04-13 14:56 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_2cc.dat 2010-04-13 11:32 . 2010-04-13 11:32 5918720 ----a-w- c:\programme\mbam-setup-1.45.exe 2010-04-13 11:21 . 2010-04-13 19:57 -------- d-----w- c:\programme\CCleaner 2010-04-13 11:20 . 2010-04-13 11:20 3376656 ----a-w- c:\programme\ccsetup230.exe 2010-04-13 09:24 . 2010-04-13 09:29 -------- d-----w- c:\programme\trend micro 2010-04-13 09:24 . 2010-04-13 09:24 -------- d-----w- C:\rsit 2010-04-13 09:13 . 2010-04-13 09:13 -------- d-----w- c:\dokumente und einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten\Microsoft 2010-04-12 07:36 . 2010-04-13 12:28 -------- d-----w- C:\BK_Angebote_10 2010-04-10 16:23 . 2010-04-10 16:23 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\elsterformular 2010-04-02 08:32 . 2010-04-02 08:32 503808 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-4e4b504f-n\msvcp71.dll 2010-04-02 08:32 . 2010-04-02 08:32 499712 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-4e4b504f-n\jmc.dll 2010-04-02 08:32 . 2010-04-02 08:32 348160 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-4e4b504f-n\msvcr71.dll 2010-04-02 08:31 . 2010-04-02 08:31 61440 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-634068c0-n\decora-sse.dll 2010-04-02 08:31 . 2010-04-02 08:31 12800 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-634068c0-n\decora-d3d.dll 2010-03-15 07:28 . 2010-03-15 07:28 8159312 ----a-w- c:\programme\Firefox Setup 3.6.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-04-11 08:01 . 2009-01-09 08:45 2791615 ----a-w- c:\programme\yaac-setup.exe 2010-04-11 07:57 . 2005-01-06 17:44 -------- d-----w- c:\programme\Gemeinsame Dateien\Lexware 2010-04-11 07:56 . 2004-03-04 18:06 -------- d--h--w- c:\programme\InstallShield Installation Information 2010-04-10 16:22 . 2007-01-24 14:04 -------- d-----w- c:\programme\ElsterFormular 2010-04-10 16:20 . 2008-04-09 08:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ElsterFormular 2010-04-02 08:31 . 2005-09-10 09:13 -------- d---a-w- c:\programme\Java 2010-03-28 16:53 . 2009-03-19 06:42 -------- d-----w- c:\programme\Avira 2010-03-16 10:27 . 2009-02-27 18:40 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\U3 2010-03-09 02:28 . 2009-01-06 14:22 411368 ----a-w- c:\winnt\system32\deploytk.dll 2010-03-05 08:36 . 2010-03-05 08:36 583168 ----a-w- c:\winnt\system32\WININET.DLL 2009-12-11 09:09 . 2009-12-11 09:09 27871152 ----a-w- c:\programme\IE8-Setup-Full-xp32.exe 2009-09-01 16:01 . 2009-05-06 17:26 20299296 ----a-w- c:\programme\TomTomHOME2winlatest.exe 2009-03-19 06:40 . 2009-03-19 06:40 30143040 ----a-w- c:\programme\avira_antivir_personal_de.exe 2008-10-09 14:58 . 2008-10-09 14:58 9194003 ----a-w- c:\programme\DHL-Versandhelfer.exe 2008-04-01 18:18 . 2008-04-01 18:18 750527 ----a-w- c:\programme\screamer038.exe 2007-01-17 18:49 . 2007-01-17 18:49 5590081 ----a-w- c:\programme\plmg4h_demo.exe 2004-03-11 11:27 . 2004-10-15 15:11 40960 ----a-w- c:\programme\Uninstall_CDS.exe 2004-03-07 10:08 . 2004-03-07 10:08 39 ----a-r- c:\programme\serial - FinePrint 5.01.txt 2004-03-07 09:17 . 2004-03-07 09:17 2736640 ----a-r- c:\programme\fpe520g.exe 2004-03-07 09:16 . 2004-03-07 09:16 2265600 ----a-r- c:\programme\pfepro220g.exe 2004-03-07 08:57 . 2004-03-07 08:57 49 ----a-r- c:\programme\pdffactrory 2.17 enterprise key.txt 2004-03-04 17:18 . 2004-03-04 17:18 22080 ---h--w- c:\programme\folder.htt . ------- Sigcheck ------- [-] 2002-12-12 14:05 . 9F39F1C2EF9C4EB1D8FB1AE8F901F26D . 52736 . . [9.0.1.56] . . c:\winnt\system32\mspmsnsv.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "internat.exe"="internat.exe" [2001-05-08 20752] "YAAC"="c:\programme\LAB1.DE\YAAC\YAAC.exe" [2004-06-22 290816] "NoPopUp"="c:\programme\NoPopUp 2003\nopopup.exe" [2003-07-06 684032] "PowerBar"="c:\programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" [2004-04-21 86016] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-04 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Synchronization Manager"="mobsync.exe" [2003-06-19 112400] "PRONoMgr.exe"="c:\programme\Intel\NCS\PROSet\PRONoMgr.exe" [2003-03-11 86016] "SoundMan"="SOUNDMAN.EXE" [2003-07-23 56832] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-12 335872] "RemoteControl"="c:\programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768] "NeroFilterCheck"="c:\winnt\system32\NeroCheck.exe" [2001-07-09 155648] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2004-11-08 180269] "AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-07-31 1544192] "SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648] "PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393] "IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960] "SetDefPrt"="c:\programme\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 49152] "ControlCenter2.0"="c:\programme\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 933888] "pdfFactory Pro Dispatcher v2"="c:\winnt\system32\spool\DRIVERS\W32X86\3\fppdis2a.exe" [2004-02-23 393216] "FinePrint Dispatcher v5"="c:\winnt\system32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" [2004-02-23 389120] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-07-13 413696] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "iSaverCtrl"="c:\programme\iSaver\iSaverCtrl.exe" [2008-10-09 1171968] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "internat.exe"="internat.exe" [2001-05-08 20752] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "^SetupICWDesktop"="c:\programme\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 189712] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-5-15 217193] Adobe Gamma Loader.exe.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-3-4 110592] InterVideo WinCinema Manager.lnk - c:\programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2004-3-4 98304] Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] My Ink Resident.lnk - c:\programme\MyInk\My Ink Resident.exe [2009-6-12 36864] Status Monitor.lnk - c:\programme\Brother\Brmfcmon\BrMfcWnd.exe [2007-11-30 802816] tax aktuell.lnk - c:\programme\Buhl finance\tax 2008 Standard\taxaktuell.exe [2008-12-29 491520] WinZip Quick Pick.lnk - c:\programme\WinZip\WZQKPICK.EXE [2004-3-5 106561] WISO Mein Sparbuch heute.lnk - c:\programme\WISO\Sparbuch 2010\meinsparbuchheute.exe [2010-2-6 1152296] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ATWinLog] 2005-06-17 16:51 49152 ----a-w- c:\winnt\system32\ATWinLog.dll R?2 WTService;WTService;c:\winnt\system32\atwtusb.exe -s --> c:\winnt\system32\atwtusb.exe -s [?] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.03.2009 08:42 108289] R3 FWLANUSB;AVM FRITZ!WLAN;c:\winnt\system32\drivers\fwlanusb.sys [10.06.2007 11:28 264704] R3 usbhub20;USB-Hub-Support;c:\winnt\system32\drivers\usbhub20.sys [04.03.2004 21:03 49776] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.spiegel.de/ uSearch Page = hxxp://www.google.com uSearch Bar = hxxp://www.google.com/ie uInternet Settings,ProxyOverride = fritz.box uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s LSP: %SystemRoot%\system32\msafd.dll DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\s1iuzeff.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.spiegel.de ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32); c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5); c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "hxxp://www.firefox.com"); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-04-13 22:24 Windows 5.0.2195 Service Pack 4 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2] @DACL=(02 0000) @SACL= . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(196) c:\winnt\system32\Ati2evxx.dll c:\winnt\system32\wzcdlg.dll c:\winnt\system32\WZCSAPI.DLL c:\winnt\system32\msv1_0.dll - - - - - - - > 'lsass.exe'(236) c:\winnt\system32\mpr.dll . Zeit der Fertigstellung: 2010-04-13 22:28:09 ComboFix-quarantined-files.txt 2010-04-13 20:28 Vor Suchlauf: 3.615.649.792 Bytes frei Nach Suchlauf: 3.833.049.088 Bytes frei - - End Of File - - 6100C603B7BDFBA82021223B8DF54204 |
Hi, Problem scheint gelöst, habe den antivir drüber laufen und nachgeschaut - alles paletti. Bedanke mich recht herzlich für die hilfreiche Unterstützung eines Deppen, der im Übereifer eine mail entzippt und dann sich nicht mehr zurechtfindet!!! Wenn das Problemchen wieder auftritt, habt ihr mich wieder "am Hals", so gut wie es gelaufen ist... |
Ja, das CF-Log seht auch ok aus. Ich würd noch vorschlagen: Mach bitte Kontrollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hi, Kontrollscan von SASW läuft noch, malwarebytes lies sich wieder nicht öffnen. Bin jetzt bis nächste Woche unterwegs, dann gehts weiter. Grüße |
Liste der Anhänge anzeigen (Anzahl: 1) Hi, bin wieder am Rechner und habe das log des 3. und letzten scans mit superantispyware angehängt. die anderen beiden scans sind auch in Quarantäne, davon hängt ein screenshot an, aber ich hoffe das hat sich erledigt... Der andere cleaner läuft nicht, s.o. Grüße und :dankeschoen: |
Das mit Malwarebytes ist nicht normal, es sollte auch unter Windows 2000 laufen. Hast Du das so schon probiert? => http://www.trojaner-board.de/82699-m...tet-nicht.html Wenns immer noch nicht geht, bitte von der Fehlermeldung einen Screenshot machen und hier posten. |
Hi, anbei das log von malwarebytes, habe es Dank der Hilfe zum laufen gebracht. Es hat auch einen Trojaner gefunden, den es in Quarantäne gestellt hat. Grüße |
Der hat die sed.exe gefunden - sed ist eigentlich ein Unix/Linux Tool und steht für stream editor, die Windows-Variante davon (sed.exe) wird von Combofix benutzt (das hatten wir ja auch eingesetzt. Lass uns mal tiefer in Deinem System graben: Probier mal diese Tools aus und poste die Logs: GMER danach OSAM und anschließend OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
Hi, hier der Report von OSAM und angehängt die beiden anderen! Viel Erfolg damit und danke im Voraus Iwan17 Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 21:13:09 on 20.04.2010 OS: Windows 2000 Professional Service Pack 4 (Build 2195) Default Browser: Mozilla Corporation Firefox 3.6.3 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Control Panel Objects] -----( %SystemRoot%\system32 )----- "ALSNDMGR.CPL" - "Realtek Semiconductor Corp." - C:\WINNT\system32\ALSNDMGR.CPL "INPUT.CPL" - "Microsoft Corporation" - C:\WINNT\system32\INPUT.CPL "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINNT\system32\javacpl.cpl "joy.cpl" - "Microsoft Corporation" - C:\WINNT\system32\joy.cpl "mbllnk.cpl" - "AvantGo, Inc." - C:\WINNT\system32\mbllnk.cpl "PRApplet.cpl" - "Intel(R) Corporation" - C:\WINNT\system32\PRApplet.cpl "QTW32.CPL" - "Apple Computer, Inc." - C:\WINNT\system32\QTW32.CPL "QuickTime.cpl" - "Apple Computer, Inc." - C:\WINNT\system32\QuickTime.cpl "TABLET.CPL" - "WALTOP International Corp." - C:\WINNT\system32\TABLET.CPL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "AntiVir PersonalEdition Classic Konfiguration" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl (File not found) "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "ati2mtag" (ati2mtag) - "ATI Technologies Inc." - C:\WINNT\System32\DRIVERS\ati2mtag.sys "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINNT\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINNT\System32\DRIVERS\avipbb.sys "AVM FRITZ!WLAN" (FWLANUSB) - "AVM GmbH" - C:\WINNT\System32\DRIVERS\fwlanusb.sys "Brother USB Still Image driver" (BrScnUsb) - "Brother Industries Ltd." - C:\WINNT\System32\Drivers\BrScnUsb.sys "catchme" (catchme) - ? - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\catchme.sys (File not found) "Cdr4_2K" (Cdr4_2K) - "Roxio" - C:\WINNT\system32\drivers\Cdr4_2K.sys "Cdralw2k" (Cdralw2k) - "Roxio" - C:\WINNT\system32\drivers\Cdralw2k.sys "Changer" (Changer) - ? - C:\WINNT\system32\drivers\Changer.sys (File not found) "IdeBusDr" (IdeBusDr) - "Intel Corporation" - C:\WINNT\System32\DRIVERS\IdeBusDr.sys "Intel(R) PRO Adapter Driver" (E100B) - "Intel Corporation" - C:\WINNT\System32\DRIVERS\e100bnt5.sys "Intel(R) Ultra ATA Controller" (IdeChnDr) - "Intel Corporation" - C:\WINNT\System32\DRIVERS\IdeChnDr.sys "lbrtfdc" (lbrtfdc) - ? - C:\WINNT\system32\drivers\lbrtfdc.sys (File not found) "Packet Protocol Driver" (Packet) - "Windows (R) 2000 DDK provider" - C:\WINNT\system32\packet.sys "Padus ASPI Shell" (pfc) - "Padus, Inc." - C:\WINNT\System32\drivers\pfc.sys "PCIDump" (PCIDump) - ? - C:\WINNT\system32\drivers\PCIDump.sys (File not found) "SASDIFSV" (SASDIFSV) - "SUPERAdBlocker.com and SUPERAntiSpyware.com" - C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS "SASENUM" (SASENUM) - " SUPERAdBlocker.com and SUPERAntiSpyware.com" - C:\Programme\SUPERAntiSpyware\SASENUM.SYS "SASKUTIL" (SASKUTIL) - "SUPERAdBlocker.com and SUPERAntiSpyware.com" - C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS "Service for Realtek AC97 Audio (WDM)" (ALCXWDM) - "Realtek Semiconductor Corp." - C:\WINNT\System32\drivers\ALCXWDM.SYS "sglfb" (sglfb) - ? - C:\WINNT\system32\drivers\sglfb.sys (File not found) "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINNT\System32\DRIVERS\ssmdrv.sys "tga" (tga) - ? - C:\WINNT\system32\drivers\tga.sys (File not found) "U3sHlpDr" (U3sHlpDr) - ? - C:\WINNT\System32\Drivers\U3sHlpDr.sys (File found, but it contains no detailed information) "WLAN miniUSB Driver" (EU3_USB) - " Inc." - C:\WINNT\System32\DRIVERS\EU3USB.sys [Explorer] -----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {9EF0045A-CDD9-438e-95E6-02B9AFEC8E11} "CRLUpdate" - "Microsoft Corporation" - %SystemRoot%\system32\updcrl.exe -e -u %SystemRoot%\system32\verisignpub1.crl {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINNT\system32\Rundll32.exe C:\WINNT\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll {4A681BEC-7727-49BD-B695-79F8354CD2E5} "PMFColumns Class" - "ESRI " - C:\Programme\Gemeinsame Dateien\ESRI\esriShellExt.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINNT\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINNT\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINNT\system32\mscoree.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {d7b95390-b1c5-11d0-b111-0080c712fe82} "mctp: Asynchronous Pluggable Protocol Handler" - "Microsoft Corporation" - C:\Programme\Microsoft ActiveSync\aatp.dll {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL {CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )----- {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} "SABShellExecuteHook Class" - "SuperAdBlocker.com" - C:\Programme\SUPERAntiSpyware\SASSEH.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - C:\Programme\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINNT\system32\mscoree.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {59850401-6664-101B-B21C-00AA004BA90B} "Microsoft Office Binder Unbind" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office\1031\UNBIND.DLL {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINNT\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shell-Erweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINNT\system32\dfshim.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} "Systemsteuerungserweiterung für die Anzeigeverschiebung" - ? - deskpan.dll (File not found) {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL {E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL {E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL {E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "&Google" - "Google Germany GmbH" - c:\programme\google\googletoolbar4.dll <binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )----- {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} "softonic-de3 Toolbar" - "Conduit Ltd." - C:\Programme\softonic-de3\tbsoft.dll -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- DirectAnimation Java Classes "DirectAnimation Java Classes" - ? - (File not found | COM-object registry key not found) / file://C:\WINNT\Java\classes\dajava.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_19" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_19.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} "Java Plug-in 1.6.0_19" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_19.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_19" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_19.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? - (File not found | COM-object registry key not found) / file://C:\WINNT\Java\classes\xmldso.cab {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} "QuickTime Plugin Control" - "Apple Inc." - C:\Programme\QuickTime\QTPlugin.ocx / hxxp://www.apple.com/qtactivex/qtplugin.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINNT\system32\Macromed\Flash\Flash10b.ocx / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab {9F1C11AA-197B-4942-BA54-47A8489BB47F} "{9F1C11AA-197B-4942-BA54-47A8489BB47F}" - ? - (File not found | COM-object registry key not found) / hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38051.1583217593 {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "ClsidExtension" - "Microsoft Corporation" - C:\Programme\Microsoft ActiveSync\INetRepl.dll {2EAF5BB0-070F-11D3-9307-00C04FAE2D4F} "Mobilen Favoriten erstellen" - "Microsoft Corporation" - C:\Programme\Microsoft ActiveSync\INetRepl.dll -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- <binary data> "&Google" - "Google Germany GmbH" - c:\programme\google\googletoolbar4.dll <binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} "softonic-de3 Toolbar" - "Conduit Ltd." - C:\Programme\softonic-de3\tbsoft.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {AE7CD045-E861-484f-8273-0445EE161910} "AcroIEToolbarHelper Class" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll {AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Germany GmbH" - c:\programme\google\googletoolbar4.dll {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} "softonic-de3 Toolbar" - "Conduit Ltd." - C:\Programme\softonic-de3\tbsoft.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "Acrobat Assistant.lnk" - "Adobe Systems Inc." - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe (Shortcut exists | File exists) "Adobe Gamma Loader.exe.lnk" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Shortcut exists | File exists) "InterVideo WinCinema Manager.lnk" - ? - C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe (Shortcut exists | File exists) "Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE (Shortcut exists | File exists) "My Ink Resident.lnk" - ? - C:\Programme\MyInk\My Ink Resident.exe (Shortcut exists | File exists) "Status Monitor.lnk" - "Brother Industries, Ltd." - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe (Shortcut exists | File exists) "tax aktuell.lnk" - ? - C:\Programme\Buhl finance\tax 2008 Standard\taxaktuell.exe (Shortcut exists | File found, but it contains no detailed information | File exists) "WinZip Quick Pick.lnk" - "WinZip Computing, Inc. and H.C. Top Systems B.V." - C:\Programme\WinZip\WZQKPICK.EXE (Shortcut exists | File exists) "WISO Mein Sparbuch heute.lnk" - "R&S EDV-Beratung, Hannover" - C:\Programme\WISO\Sparbuch 2010\meinsparbuchheute.exe (Shortcut exists | File exists) -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "H/PC Connection Agent" - "Microsoft Corporation" - "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" "NoPopUp" - "NEXT-Soft" - C:\Programme\NoPopUp 2003\nopopup.exe /autorun "PowerBar" - "Cyberlink, Corp." - "C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime "SUPERAntiSpyware" - "SUPERAntiSpyware.com" - C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe "swg" - "Google Inc." - "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" "YAAC" - "Wolfgang Wirth - IT Consultant / Visit my web-site at www.lab1.de" - C:\Programme\LAB1.DE\YAAC\YAAC.exe /AUTOSTART -----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )----- "StartupPrograms" - ? - rdpclip (File not found) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" "ATIPTA" - "ATI Technologies, Inc." - C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "AVMWlanClient" - "AVM Berlin" - C:\Programme\avmwlanstick\wlangui.exe "ControlCenter2.0" - "Brother Industries, Ltd." - C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun "FinePrint Dispatcher v5" - "FinePrint Software, LLC" - C:\WINNT\system32\spool\DRIVERS\W32X86\3\fpdisp5a.exe "IndexSearch" - "ScanSoft, Inc." - C:\Programme\ScanSoft\PaperPort\IndexSearch.exe "iSaverCtrl" - "infoMantis GmbH" - C:\Programme\iSaver\iSaverCtrl.exe --startup "NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINNT\system32\NeroCheck.exe "PaperPort PTD" - "ScanSoft, Inc." - C:\Programme\ScanSoft\PaperPort\pptd40nt.exe "pdfFactory Pro Dispatcher v2" - "FinePrint Software, LLC" - C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis2a.exe "PRONoMgr.exe" - "Intel(R) Corporation" - C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe "QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime "RemoteControl" - "Cyberlink Corp." - "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" "SetDefPrt" - "Brother Industories, Ltd." - C:\Programme\Brother\Brmfl05a\BrStDvPt.exe "SoundMan" - "Realtek Semiconductor Corp." - SOUNDMAN.EXE "SSBkgdUpdate" - "Scansoft, Inc." - "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot "TkBellExe" - "RealNetworks, Inc." - "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Adobe PDF Port" - "Adobe Systems Incorporated." - C:\WINNT\system32\AdobePDF.dll "FPP2:" - "FinePrint Software, LLC" - C:\WINNT\system32\fppmon2.dll "FPR5:" - "FinePrint Software, LLC" - C:\WINNT\system32\fpmon5.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINNT\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINNT\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Ati HotKey Poller" (Ati HotKey Poller) - "ATI Technologies Inc." - C:\WINNT\System32\Ati2evxx.exe "ATI Smart" (ATI Smart) - ? - C:\WINNT\system32\ati2sgag.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "AVM WLAN Connection Service" (AVM WLAN Connection Service) - "AVM Berlin" - C:\Programme\avmwlanstick\WlanNetService.exe "Dienst für Seriennummern der tragbaren Medien" (WmdmPmSN) - "Microsoft Corporation" - C:\WINNT\system32\mspmsnsv.dll "EPSON Printer Status Agent2" (EPSONStatusAgent2) - "SEIKO EPSON CORPORATION" - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe "Google Updater Service" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe "InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe "Intel NCS NetService" (NetSvc) - "Intel(R) Corporation" - C:\Programme\Intel\NCS\Sync\NetSvc.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "WTService" (WTService) - ? - C:\WINNT\system32\atwtusb.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "!SASWinLogon" - "SUPERAntiSpyware.com" - C:\Programme\SUPERAntiSpyware\SASWINLO.dll "AtiExtEvent" - "ATI Technologies Inc." - C:\WINNT\system32\Ati2evxx.dll "ATWinLog" - "WALTOP International Corp." - C:\WINNT\system32\ATWinLog.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
Von GMER gibt es ein spezielles Tool um den MBR (Master Boot Record) zu prüfen, der MBR wird zB auch vom Sinowal manipuliert. Die MBR.exe sollte aus der Konsole ausgeführt werden, also zB so: Die mbr.exe liegt direkt auf C:, dann öffnest Du über Start, Ausführen cmd.exe (schwarze Konsole öffnet sich) und dort tippst Du ein: c:\mbr.exe -f Und bestätigst mit Enter. Die Logdatei vom MBR-Tool findest Du im gleichen Pfad, von der die mbr.exe ausgeführt wurde, im obigen Beispiel c:\mbr.log - das bitte öffnen und den Inhalt hier posten. Danach bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: files to move:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. |
Liste der Anhänge anzeigen (Anzahl: 1) Hi, anbei die beiden logs, einer angehängt, einer hier: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Der screenshot hat sich damit wohl erledigt!? Viel Erfolg |
Ok - wie verhält sich Dein Rechner jetzt? |
Gefühlsmäßig ist er etwas träger, aber das kann täuschen! Müßte ihn eh mal aufrüsten... Hauptsache die Dinger sind runter!! Kann ich sonst noch was tun? :dankeschoen: |
Wenn ich seh, Windows 2000 als OS, müsste Dein Rechner wirklich schon etwas älter sein. Du könntest mal Deine Updates prüfen: Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Hallo, soll ich mit meinem windows 2000 die updates von XP machen? Den Sumatra habe ich installiert, die Adobes (6.0 und 8.3) lassen sich nicht deinstallieren, weil sie auf ein ungültiges LAufwerk (H:) zugreifen!!?? Funktioniert hat aber zumindest der 6.0 professional. JAva ist jetzt dran... Grüße |
Hi, auch die Deinstallation von J2SE runtime Environment 5.0 update 11 und 10 führt er nicht durch und verweist auf das Laufwerk H:??? Java 6 hat funktioniert. Kann/soll ich die ganzen cleaner etc. deinstallieren, die ich in den letzten Tagen draufgespielt habe? Davon braucht man eh immer die neueste Version... Grüße und danke! |
Oh, in meinem Standardtext zu den Updates ist Windows 2000 garnicht berücksichtigt. Halte Dich an die Vorgehensweise zu XP (das ist mit 2000 fast identisch) Die anderen Programme kannst Du wenn Du willst natürlich deinstallieren. |
Hi, das mit win 2000 / XP hab ich gemacht. Was ist mit den komischen Verweisen auf das ungültige Laufwerk? Hauptsache die Trojaner haben den Rückzug angetreten! Nochmals vielen Dank! |
Das ungültige Laufwerk kann ich nicht nachvollziehen, was ist denn Laufwerk H: bei Dir sonst normalerweise? CD/DVD Laufwerk? |
Nein, glaube eher ne Wechselplatte oder evtl. auch usb-stick? Aber meistens sind die G oder I bzw. J!! Iwan17 |
Die Vergabe der Laufwerksbuchstaben hab ich noch nicht so recht kapiert unter Windows :lach: Gut möglich, dass es mal ein (anderer?) USB-Stick war, von dem vllt Java installiert wurde?? :confused: |
Das ist auch möglich! Danke |
Mit Laufwerk H: könnte man noch rumtricksen, falls es das ist was ich denke, er will auf das alte Java-Setup unbedingt von H: haben... Probier lieber erstmal diesen Java-Uninstaller (JavaRa) aus, ggf. musst Du das aktuelle Java erneut installieren falls benötigt. |
Okay, alte java - Versionen sind weg! jetzt wären da noch der Adobe Reader 8.3 und der Acrobat Professional 6.0, die das gleiche Problem haben! Grüße |
Fragen die nur nach Laufwerk H: oder noch nach was anderem? Poste mal die exakte Fehlermeldung! |
Liste der Anhänge anzeigen (Anzahl: 3) Hi, hier die beiden Fehlermeldungen sowie die nachfolgende, die jeweils gleich ist. Grüße |
Hm, vllt will der Uninstaller einfach nur ein Laufwerk H: haben, warum auch immer. Können wir über mehrere Wege probieren. 1.) Du steckst einen USB-Stick, der über H: gemappt wird. Wenn nicht, den Laufwerksbuchstaben in der Datenträgerverwaltung ändern. 2.) Eine Umlenkung eines beliebigen Pfades auf Laufwerk H: mit dem Befehl subst, weiß ich aber nicht ob der Uninstaller eine Umlenkung erkennt und nicht akzeptiert. Einfach mal probieren, Befehl über Start, Ausführen eintippen und mit ok bestätigen: subst h: c:\ Dann hast Du ein virtuelles Laufwerk H: was Dir aber Laufwerk C: anzeigt. Man kann auch beliebige Pfade nehmen, dann könnte Laufwerk H: auch direkt auf Deine Eigenen Dateien zeigen mit subst h: "C:\Dokumente und Einstellungen\Benutzername\Eigene Dateien" |
Hi, mit dem Datenträger umbenennen hat nicht ganz hingehauen, habe es aber wieder in den ursprünglichen Zustand zurück geschafft. Bin ab morgen wieder bis nächsten Mittwoch unterwegs, werde es jetzt erst einmal dabei belassen und mich bei Gelegenheit wieder melden. Also nochmals vielen Dank und bis bald Iwan17 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:27 Uhr. |
Copyright ©2000-2025, Trojaner-Board