Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Pc Stürzt immer ab! Bitte um Hilfe. (https://www.trojaner-board.de/39163-pc-stuerzt-immer-ab-bitte-um-hilfe.html)

Jeremy123 22.05.2007 18:27
Pc Stürzt immer ab! Bitte um Hilfe.
 
Ein wunderschönen Tag wünsche ich. Meine Freundin hat ein sehr großes Problem! Und zwar stürzt ihr Computer sehr oft ab und beim Viren scannen zeigt er an das ein Trojaner es sich bei ihr gemütlich gemacht hat. Hab mir mehrere Threads durchgelesen und denke hier kann mein Problem am schnellsten gelößt werden. Vielen Dank schon einmal!

PS: Bin ein absoluter Neuling auf diesem Gebiet und würde mich über eine detailierte Beschreibung freuen, wie das Problem zu behandeln ist (wenn es denn hier gelößt werden kann)

Logfile of HijackThis v1.99.1
Scan saved at 18:51:40, on 22.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\VM_STI.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Philips\SPC 200NC PC Camera\TrayMin.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Java\jre1.5.0_10\bin\jucheck.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [the drive] C:\DOKUME~1\Meycy\ANWEND~1\PLUS4~1\mfcd bows.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: TrayMin.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://***.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1172910872515
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBEB1F53-9BBE-4560-8006-519901D13CE8}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

nochdigger 22.05.2007 18:41
Moin

Zitat:
beim Viren scannen zeigt er an das ein Trojaner es sich bei ihr gemütlich gemacht hat.
wer meldet wo welchen Schädling (bitte genaue Pfad/Dateiangabe)?


Mach bitte alle versteckten Dateien und Ordner sichtbar.
Anschließend arbeite bitte die Anleitung zum Swizzor entfernen ab.
Relevanter Eintrag ist :

O4 - HKCU\..\Run: [the drive] C:\DOKUME~1\Meycy\ANWEND~1\PLUS4~1\mfcd bows.exe

Anschließend bitte ein neues Hijackthis Log erstellen aber bitte vorher die Hijackthis.ex umbenennen in z.B. ABC.exe.

MFG

Jeremy123 22.05.2007 20:51
Soo, hab mit meiner Freundin gesprochen. Die Datei oder der Pfad von dem du gesprochen hast wird im Abgesicherten-Modus nicht mit aufgelistet.. keine ahnung wieso.
Versteckte Ordner hat sie nun aufgedeckt und mir erneut ein Log geschickt.
Sie hat mir gesagt, dass sie mit AntiVir ihren Pc geprüft hat und dann viele Fehlermeldungen bekomm wie z.B

Ein Virus oder unerwünschtes Programm 'TR/Dldr.Swizzor.Gen' [trojan]
in der Datei 'C:\Programme\Adverts\uninst.exe' wurde gefunden.

Diese Datein hat sie dann alle mit "Datei löschen" weiter geklickt bis sie bei 23% beim scannen war. Bei dieser % Zahl hängt sich der Pc automatisch auf und stürzt ab.

Hier der aktuelle Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:45:35, on 22.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\VM_STI.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Philips\SPC 200NC PC Camera\TrayMin.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.5.0_10\bin\jucheck.exe
C:\Programme\HijackThis\ABC.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [the drive] C:\DOKUME~1\Meycy\ANWEND~1\PLUS4~1\mfcd bows.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: TrayMin.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://princezzkalina.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1172910872515
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBEB1F53-9BBE-4560-8006-519901D13CE8}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

nochdigger 23.05.2007 04:49
Moin

dann arbeitet erstmal die oben verlinkte Anleitung zum Swizzor entfernen ab, den entsprechenden Eintrag kennt ihr ja, um die andere Datei kümmern wir uns dann.

MFG

Jeremy123 23.05.2007 09:28
Hatten wir gestern schon "gemacht"... HiJack findet wie gesagt die besagte 04 - (...) Datei nicht im abgesicherten Modus. Somit konnten wir sie nicht löschen und der Rest hat auch nichts gefunden bzw. bewirkt. Nun stehen wir wirklich vor einem Rätsel. Gibt es vielleicht noch andere Tests oder so die wir durchführen können um das Problem ein bischen mehr einzugrenzen?

MFG

nochdigger 23.05.2007 17:18
Moin

Zitat:
Hatten wir gestern schon "gemacht"... HiJack findet wie gesagt die besagte 04 - (...) Datei nicht im abgesicherten Modus.
sehr gut möglich.


sooo dann mal so...:juul:

Kopiere den folgenden Text :

Zitat:
cd\
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt
in den Editor (Start - Programme - Zubehör - Editor) kopieren und als Ordner.bat mit 'Speichern unter' auf dem Desktop ablegen und gebe bei Dateityp 'Alle Dateien' an, du solltest jetzt auf dem Desktop diese Datei finden --> Ordner.bat --> dann die Ordner.bat doppelt klicken (nur 1x) --> unter C:\files.txt findest du die Informationen die uns nun interssieren, kopiere den Text ab und poste ihn hierher.

MFG

Jeremy123 23.05.2007 17:45
Okay :)
Werd die Informationen so gegen 22 Uhr rein editieren

Mfg

Jeremy123 23.05.2007 20:31
Sry für den Doppel-Post aber ich glaube sonst wäre es zu unübersichtlich geworden :schmoll: ,
hier nun die gewünschten Informationen.


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 50F2-C4E2

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

02.01.2007 21:49 305 addr_file.html
05.01.2007 04:52 <DIR> Adobe
24.04.2007 18:02 <DIR> AntiVir PersonalEdition Classic
14.01.2007 16:58 <DIR> Apple Computer
21.05.2007 21:22 <DIR> atom way user chin
20.03.2007 16:41 <DIR> BVRP Software
21.02.2007 19:05 <DIR> Google
14.03.2007 17:37 <DIR> HP
14.03.2007 17:44 837 hpzinstall.log
23.01.2007 23:11 <DIR> Messenger Plus!
16.03.2007 17:55 1.759 QTSBandwidthCache
22.05.2007 17:45 <DIR> TuneUp Software
14.03.2007 18:10 <DIR> Ulead Systems
03.01.2007 19:15 <DIR> Windows Genuine Advantage
02.01.2007 21:46 <DIR> Windows Live Toolbar
01.04.2007 23:24 <DIR> Yahoo! Companion
3 Datei(en) 2.901 Bytes
13 Verzeichnis(se), 3.975.413.760 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 50F2-C4E2

Verzeichnis von C:\Dokumente und Einstellungen\Meycy\Anwendungsdaten

21.02.2007 18:23 <DIR> Adobe
21.01.2007 14:25 <DIR> Ahead
17.01.2007 23:01 <DIR> Apple Computer
01.02.2007 13:41 <DIR> Google
14.03.2007 17:45 <DIR> HP
02.01.2007 21:11 <DIR> Identities
14.03.2007 17:38 <DIR> Image Zone Express
20.03.2007 16:35 <DIR> InstallShield
04.01.2007 03:22 <DIR> Macromedia
21.05.2007 21:25 <DIR> plus 4
18.04.2007 21:17 <DIR> Screenshot Sender
06.01.2007 22:21 <DIR> Sun
05.01.2007 03:21 <DIR> Ulead Systems
06.04.2007 11:28 <DIR> uTorrent
0 Datei(en) 0 Bytes
14 Verzeichnis(se), 3.975.413.760 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 50F2-C4E2

Verzeichnis von C:\Windows\tasks

21.05.2007 22:50 276 AppleSoftwareUpdate.job
23.05.2007 20:43 248 Auf Updates fr Windows Live Toolbar prfen.job
2 Datei(en) 524 Bytes
0 Verzeichnis(se), 3.975.413.760 Bytes frei

nochdigger 23.05.2007 21:57
Moin

deinstalliere bitte den Messenger Plus! über Start -> Einstellungen -> Systemsteuerung -> Software der hat euch den Swizzor mitgebracht, dann startet ihr bitte Hijackthis mit der Option - do a system scan only - und hakt diese Einträge an :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKCU\..\Run: [the drive] C:\DOKUME~1\Meycy\ANWEND~1\PLUS4~1\mfcd bows.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

klicke nun auf - fix checked - und beende Hijackthis.

Anschließend starte das System in den abgesicherten Modus (beim start F8 drücken) und lösche diese Ordner wenn noch vorhanden :

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\atom way user chin

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!

C:\Dokumente und Einstellungen\Meycy\Anwendungsdaten\plus 4

leert nun den Mülleimer anschließend Neustart in den normalen Modus und berichten.

MFG

Jeremy123 24.05.2007 12:58
Sooo sind alle Punkte durchgegangen. Die 02 Datei zeigt er uns nicht an und im abgesicherten Modus können wir auf den "Meycy" Ordner nicht zugreifen :schrei:
"Zugriff verweigert", wenigstens kann man daraus schließen, dass der Übeltäter dort sitzt

MFG

nochdigger 24.05.2007 17:43
Moin

Zitat:
Die 02 Datei zeigt er uns nicht an
hab ihr im normalen Modus die Einträge gefixt oder im abgesicherten?

Zitat:
im abgesicherten Modus können wir auf den "Meycy" Ordner nicht zugreifen
der Ordner lässt sich nicht öffnen?

MFG

Jeremy123 24.05.2007 18:43
02 im normalen Modus

und der Ordner lässt sich NICHT öffnen, "zugriff verweigert" .. :(

MFG

nochdigger 24.05.2007 19:27
Hallo

sehr eigenartig...

Dann versuchen wir halt mit nem eScan --> eScananleitung
beim download der Find.bat werdet ihr einen Text zu sehen bekommen, drückt STRG A und dann STRG C, startet den Editor (Start - Programme - Zubehör - Editor) kopieren und als Find.bat mit 'Speichern unter' auf dem Desktop ablegen
und gebe bei Dateityp 'Alle Dateien' an, du solltest jetzt auf dem Desktop diese Datei finden --> Find.bat
dann den eScan durchführen lasst aber den Haken weg bei - Nur Scannen -
postet anschließend das Log mit hilfe der Find.bat

MFG

Jeremy123 27.05.2007 15:37
Hoffe mein Thema ist nicht untergegangen weil ich mich nicht gemeldet hab... :heulen:

Sooo meine Freundin hat sich nun dazu entschlossen ihren Pc neuzumachen ... sprich alles runter hauen und windows neu installieren.. könntest jemand mir dazu ne gute Anleitung geben wie wir am besten vorgehen.. (Windows XP Home Edition)

MFG


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131