|
C:\WINDOWS\system32\ffudf.exe löschen? Hallo, habe folgendes Problem: Ich habe kürzlich TVAnts runtergeldaden und bekomme nun ständig Warnungen dieser Art von AntiVir: In der Datei 'C:\WINDOWS\672.exe' wurde ein Virus oder unerwünschtes Programm 'DR/Delphi.Gen' [DR/Delphi.Gen] gefunden. Ich vermute, dass dies in Zusammenhang mir der Datei ffudf.exe steht, die ich bereits vergeblich versucht habe zu löschen. Bin für jede Hilfe dankbar, dass Problem zu lösen. Hier mein Hijackthis -Logfile Logfile of HijackThis v1.99.1 Scan saved at 13:02:56, on 25.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ffudf.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Kilian\LOKALE~1\Temp\Rar$EX00.266\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://hao123.union123.com/index.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://hao123.union123.com/index.htm O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: ²Æ¸»Í¨ - {C1F0024B-8278-4999-B7E6-2718426D9FE6} - C:\Programme\²Æ¸»Í¨\caif.dll (file missing) (HKCU) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1154771646031 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktopManager.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe mfg Kilian Achso, es werden auch ständig irgendwelche sieten vom IE geöffnet. |
@Kilian Zitat:
Wenn du wirklich mehr TV-Sender empfangen möchtest, kaufe dir eine DBox ;). |
Ok, aber wie werde ich das Problem jetzt wieder los? |
Zitat:
|
Ok, danke erstmal. Scheint keine weiteren Warnungen mehr von Antivir zu geben. Aber was mach ich mit der Datei C:\WINDOWS\system32\ffudf.exe, die is nämlich nach wie vor da ? mfg Kilian |
Hi Lade die Datei Code: C:\WINDOWS\system32\ffudf.exeMfG |
So, erstmal vielen Dank für die schnelle Antwort, hier ist das Ergebnis. Complete scanning result of "ffudf.exe", received in VirusTotal at 02.25.2007, 14:54:52 (CET). AntiVir 7.3.1.38 02.25.2007 HEUR/Crypted Authentium 4.93.8 02.25.2007 could be a corrupted executable file Avast 4.7.936.0 02.23.2007 no virus found AVG 386 02.24.2007 no virus found BitDefender 7.2 02.25.2007 no virus found CAT-QuickHeal 9.00 02.24.2007 (Suspicious) - DNAScan ClamAV devel-20060426 02.25.2007 no virus found DrWeb 4.33 02.25.2007 no virus found eSafe 7.0.14.0 02.23.2007 suspicious Trojan/Worm eTrust-Vet 30.4.3424 02.23.2007 no virus found Ewido 4.0 02.24.2007 Backdoor.Agent.ahj FileAdvisor 1 02.25.2007 no virus found Fortinet 2.85.0.0 02.25.2007 no virus found F-Prot 4.3.1.45 02.22.2007 no virus found F-Secure 6.70.13030.0 02.25.2007 no virus found Ikarus T3.1.0.31 02.25.2007 Backdoor.Win32.Agent.ahj Kaspersky 4.0.2.24 02.25.2007 no virus found McAfee 4970 02.23.2007 no virus found Microsoft 1.2204 02.25.2007 no virus found NOD32v2 2080 02.25.2007 no virus found Norman 5.80.02 02.23.2007 no virus found Panda 9.0.0.4 02.25.2007 Suspicious file Prevx1 V2 02.25.2007 Covert.Sys.Exec Sophos 4.14.0 02.24.2007 no virus found Sunbelt 2.2.907.0 02.24.2007 VIPRE.Suspicious Symantec 10 02.25.2007 no virus found TheHacker 6.1.6.064 02.25.2007 no virus found UNA 1.83 02.23.2007 no virus found VBA32 3.11.2 02.24.2007 no virus found VirusBuster 4.3.19:9 02.24.2007 no virus found Aditional Information File size: 25616 bytes MD5: bbcb9bf2cd256c8dd9fea8f3504acfbd SHA1: e6a705b0a8a056116486422a6ab3c87a90fcdab5 Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=f76379540146 Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. mfg Kilian |
Zitat:
|
Ja schön, kann sie zwar löschen (nur mit Killbox) aber nach neustart ist sie wieder da mfg Kilian |
Hi Wie man an der Auswertung der Datei Code: C:\WINDOWS\system32\ffudf.exeDeshalb lade die Datei bei UploadMalware hoch. Trage bei "Your Username" deinen Namen aus dem Forum ein. Bei "Files To Submit" 1. Code: C:\WINDOWS\system32\ffudf.exeCode: E-Mail: DeineEmailPoste danach bitte noch ein neues HijackThis Logfile. MfG |
Hallo. danke erstmal dür die hilfe. hier mein logfile: Logfile of HijackThis v1.99.1 Scan saved at 16:58:26, on 25.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ffudf.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Brother\Brmfcmon\brmfcwnd.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Winamp\Winamp.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\Kilian\LOKALE~1\Temp\Rar$EX00.093\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://hao123.union123.com/index.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://hao123.union123.com/index.htm O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154771646031 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktopManager.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
Hi Um die ffudf.exe wird sich jetzt ja gekümmert. Führe mal den eScan nach Anleitung aus. Vergesse am Ende bitte nicht die Find.zip zu benutzen wie es fast gaaaanz unten in der Anleitung steht. Das erleichtert das Auswerten sehr. Diesen Schritt musst du nicht ausführen da dieser von der find.bat erledigt wird: Code: Alternativ: |
Hallo, hoffe das ist richtig. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Microsoft Windows XP [Version 5.1.2600] Sun Feb 25 17:43:40 2007 => Version 9.1.7 (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mexe.com) Sun Feb 25 17:34:56 2007 => Virus Database Date: 2/24/2007 Sun Feb 25 17:45:13 2007 => Virus Database Date: 2/24/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Sun Feb 25 17:44:14 2007 => Offending Key found: HKLM\Software\magnet !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ die datei mwav.log ist zu groß um sie einzufügen Vielen dank für die hilfe! mfg Kilian |
Hi Das war alles richtig. Wir brauchen auch garnicht die ganze mwav.log denn die find.bat sucht aus der mwav.log die Einträge heraus die wir brauchen. Dein PC scheint soweit sauber zu sein außer halt die ffudf.exe. Aber da die Datei ja von Ewido erkannt wurde kannst du ja mal den Ewido Online Scan ausführen. Um den Scan ausführen zu können musst du den Internet Explorer benutzen da nur dieser Active X unterstützt. Teile uns das Ergebnis bitte wieder mit. MfG |
Hallo. also Ewido findet drei mal einen Backdoor.Agent.ahj und sechs mal Downloader.AQM und einige tracking cookies. ich habe (hoffentlich) alles jetzt gelöscht. mfg Kilian |
Kann ja vielleicht nochmal mein hijackthis log nach dem löschen posten: Logfile of HijackThis v1.99.1 Scan saved at 18:53:51, on 25.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Brother\Brmfcmon\brmfcwnd.exe C:\DOKUME~1\Kilian\LOKALE~1\Temp\Rar$EX00.782\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154771646031 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktopManager.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe mfg Kilian |
Hi Backdoor.Agent.ahj? :aplaus: Das hört sich gut an! ffudf.exe wurde als Backdoor.Agent.ahj erkannt. Erstelle nochmal ein neues HijackThis Logfile und überprüfe ob es noch eine ffudf.exe gibt. MfG EDIT: Oh... Da haste eins gepostet als ich geschrieben hab. Gucke nochmal ob es die Datei noch gibt. |
Hallo, also die Datei wurde gelöscht. ich starte vielleicht mal neu, weil sie nach dem neustart schon mal wiederkam. Aber erstmal danke für dein hilfe kilian |
Hi Also wenn du nach dem neustarten keine ffudf.exe mehr findest würde ich sagen du bist jetzt virenfrei ;). MfG |
hallo, also leider is das eingetreten was ich befürchtete. nach dem neustart is die datei wieder da. mfg Kilian |
Hi Hmmm... Es scheint wohl noch eine oder mehrere Dateien zu geben die wir nicht entdeckt haben welche ffudf.exe immer wieder neu erstellen. Downloade mal Blacklight. Nehme "Blacklight Beta graphical user interface version". Poste bitte wieder das Logfile. Es erstellt sich in dem gleichen Ordner in dem Blacklight läuft. Benenne danach HijackThis.exe mal in HJT1991.exe um und poste ein neues Logfile. MfG |
Hallo, hier mein log von blacklight(wenns denn der richtige is) 02/25/07 19:26:14 [Info]: BlackLight Engine 1.0.55 initialized 02/25/07 19:26:14 [Info]: OS: 5.1 build 2600 (Service Pack 2) 02/25/07 19:26:14 [Note]: 7019 4 02/25/07 19:26:14 [Note]: 7005 0 02/25/07 19:26:16 [Note]: 7006 0 02/25/07 19:26:16 [Note]: 7011 3600 02/25/07 19:26:16 [Note]: 7026 0 02/25/07 19:26:16 [Note]: 7026 0 02/25/07 19:26:23 [Note]: FSRAW library version 1.7.1021 02/25/07 19:29:38 [Note]: 7007 0 und hier mein hijackthis log Logfile of HijackThis v1.99.1 Scan saved at 19:31:45, on 25.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\ffudf.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Kilian\Desktop\HJT1991.exe.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kuaiso.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://hao123.union123.com/index.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\PROGRA~1\7A99~1\tbhelper.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: TBSB03263 - {EEC7E620-B32A-4E3B-B200-291660803474} - C:\PROGRA~1\7A99~1\eqiso.dll O3 - Toolbar: ??? - {33E640D8-EB95-4B22-B475-1852B7D35993} - C:\Programme\ËÑË÷À¸\eqiso.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154771646031 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktopManager.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe mfg Kilian |
Hi In dem Logfile sind neue böse Dateien aufgetaucht... Kann damit zusammenhängen das du HijackTHis umbenannt hast. Lasse diese Dateien bitte nochmal bei Virustotal scannen: Code: C:\PROGRA~1\7A99~1\tbhelper.dll |
Hallo, hier das Ergenbnis: Complete scanning result of "tbhelper.dll", received in VirusTotal at 02.25.2007, 19:41:01 (CET). Antivirus Version Update Result AntiVir 7.3.1.38 02.25.2007 no virus found Authentium 4.93.8 02.25.2007 no virus found Avast 4.7.936.0 02.23.2007 no virus found AVG 386 02.25.2007 no virus found BitDefender 7.2 02.25.2007 no virus found CAT-QuickHeal 9.00 02.24.2007 no virus found ClamAV devel-20060426 02.25.2007 no virus found DrWeb 4.33 02.25.2007 no virus found eSafe 7.0.14.0 02.25.2007 no virus found eTrust-Vet 30.4.3424 02.23.2007 no virus found Ewido 4.0 02.25.2007 Adware.Softomate FileAdvisor 1 02.25.2007 no virus found Fortinet 2.85.0.0 02.25.2007 no virus found F-Prot 4.3.1.45 02.25.2007 no virus found F-Secure 6.70.13030.0 02.25.2007 no virus found Ikarus T3.1.0.31 02.25.2007 no virus found Kaspersky 4.0.2.24 02.25.2007 not-a-virus:AdWare.Win32.Softomate.ah McAfee 4970 02.23.2007 no virus found Microsoft 1.2204 02.25.2007 no virus found NOD32v2 2080 02.25.2007 no virus found Norman 5.80.02 02.23.2007 no virus found Panda 9.0.0.4 02.25.2007 Suspicious file Prevx1 V2 02.25.2007 no virus found Sophos 4.14.0 02.24.2007 no virus found Sunbelt 2.2.907.0 02.24.2007 no virus found Symantec 10 02.25.2007 no virus found TheHacker 6.1.6.064 02.25.2007 no virus found UNA 1.83 02.23.2007 no virus found VBA32 3.11.2 02.25.2007 no virus found VirusBuster 4.3.19:9 02.25.2007 no virus found Aditional Information File size: 180297 bytes MD5: c59c21a13608fa3edca21e4f8bc4d0f9 SHA1: 971829c950804db5470842cd79e0680b03858a81 |
Complete scanning result of "eqiso.dll", received in VirusTotal at 02.25.2007, 19:42:25 (CET). Antivirus Version Update Result AntiVir 7.3.1.38 02.25.2007 no virus found Authentium 4.93.8 02.25.2007 no virus found Avast 4.7.936.0 02.23.2007 no virus found AVG 386 02.25.2007 no virus found BitDefender 7.2 02.25.2007 no virus found CAT-QuickHeal 9.00 02.24.2007 no virus found ClamAV devel-20060426 02.25.2007 no virus found DrWeb 4.33 02.25.2007 no virus found eSafe 7.0.14.0 02.25.2007 no virus found eTrust-Vet 30.4.3424 02.23.2007 no virus found Ewido 4.0 02.25.2007 no virus found FileAdvisor 1 02.25.2007 no virus found Fortinet 2.85.0.0 02.25.2007 no virus found F-Prot 4.3.1.45 02.25.2007 no virus found F-Secure 6.70.13030.0 02.25.2007 no virus found Ikarus T3.1.0.31 02.25.2007 no virus found Kaspersky 4.0.2.24 02.25.2007 no virus found McAfee 4970 02.23.2007 no virus found Microsoft 1.2204 02.25.2007 no virus found NOD32v2 2080 02.25.2007 no virus found Norman 5.80.02 02.23.2007 no virus found Panda 9.0.0.4 02.25.2007 no virus found Prevx1 V2 02.25.2007 no virus found Sophos 4.14.0 02.24.2007 no virus found Sunbelt 2.2.907.0 02.24.2007 no virus found Symantec 10 02.25.2007 no virus found TheHacker 6.1.6.064 02.25.2007 no virus found UNA 1.83 02.23.2007 no virus found VBA32 3.11.2 02.25.2007 no virus found VirusBuster 4.3.19:9 02.25.2007 no virus found Aditional Information File size: 868424 bytes MD5: 2d9b93fa1bb6e00c140fd21a4145e2b4 SHA1: 5e24dda44be5df4d18c552dca5e7b0a0c63fcd27 |
Complete scanning result of "eqiso.dll", received in VirusTotal at 02.25.2007, 19:42:58 (CET). Antivirus Version Update Result AntiVir 7.3.1.38 02.25.2007 no virus found Authentium 4.93.8 02.25.2007 no virus found Avast 4.7.936.0 02.23.2007 no virus found AVG 386 02.25.2007 no virus found BitDefender 7.2 02.25.2007 no virus found CAT-QuickHeal 9.00 02.24.2007 no virus found ClamAV devel-20060426 02.25.2007 no virus found DrWeb 4.33 02.25.2007 no virus found eSafe 7.0.14.0 02.25.2007 no virus found eTrust-Vet 30.4.3424 02.23.2007 no virus found Ewido 4.0 02.25.2007 no virus found FileAdvisor 1 02.25.2007 no virus found Fortinet 2.85.0.0 02.25.2007 no virus found F-Prot 4.3.1.45 02.25.2007 no virus found F-Secure 6.70.13030.0 02.25.2007 no virus found Ikarus T3.1.0.31 02.25.2007 no virus found Kaspersky 4.0.2.24 02.25.2007 no virus found McAfee 4970 02.23.2007 no virus found Microsoft 1.2204 02.25.2007 no virus found NOD32v2 2080 02.25.2007 no virus found Norman 5.80.02 02.23.2007 no virus found Panda 9.0.0.4 02.25.2007 no virus found Prevx1 V2 02.25.2007 no virus found Sophos 4.14.0 02.24.2007 no virus found Sunbelt 2.2.907.0 02.24.2007 no virus found Symantec 10 02.25.2007 no virus found TheHacker 6.1.6.064 02.25.2007 no virus found UNA 1.83 02.23.2007 no virus found VBA32 3.11.2 02.25.2007 no virus found VirusBuster 4.3.19:9 02.25.2007 no virus found Aditional Information File size: 868424 bytes MD5: 2d9b93fa1bb6e00c140fd21a4145e2b4 SHA1: 5e24dda44be5df4d18c552dca5e7b0a0c63fcd27 |
Hi Die Dateien sind wohl nicht wirklich gefährlich... Nur Adware... Aber ich habe keine Ideen wie man ffudf.exe löschen könnte ohne das sie wiederkommt. Und da es ja eh ein Backdoortrojaner ist wo man sich nie sicher sein kann das alles entfernt ist würde ich jetzt neu aufsetzen sagen. Es können sich ja nochmal andere im Forum die ffudf.exe angucken aber ich denke es hilft nur noch neu aufsetzten. MfG |
ok trotzdem danke für deine hilfe ich werd dann wohl mal neu aufsetzen danke nochmal mfg kilian |
Hallo, wollte nur sagen dass ich neu aufgesetzt hab, nich dass sich noch einer die mühe macht ne lösung zu finden. trotzdem vielen vielen dank an Rene-gade und Chuck0r mfg Kilian |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board