|
Mein PC spinnt Hi, seid einer Woche hab ich Probleme mit meinem Rechner. IE startet automatisch (ich benutz aber Mozilla) Downloads starten AVG Free Edition findet 2 Trojaner... löscht sie... findet nix... 2 Stunden später sind wieder welche da.. immer im Temp Ordner Hab schon im abgesicherten Modus die Temp dateien gelöscht und versuch seid 1 Woche das in den Griff zu bekommen. Vielleicht könnt ihr mir helfen. Logfile of HijackThis v1.99.1 Scan saved at 22:54:33, on 11.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\Programme\ewido anti-spyware 4.0\guard.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Java\jre1.5.0_09\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Free Download Manager\fdm.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Downloads\hijackthis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\qudtkfbk.dll",realset O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
Hallo Gaja. Lasse bitte folgende Datei auf Virusttoal überprüfen und poste den Bericht: " C:\WINDOWS\system32\qudtkfbk.dll " mfg Undo |
AhnLab-V3 2007.6.12.2 06.12.2007 no virus found AntiVir 7.4.0.32 06.12.2007 no virus found Authentium 4.93.8 06.12.2007 no virus found Avast 4.7.997.0 06.12.2007 no virus found AVG 7.5.0.467 06.12.2007 no virus found BitDefender 7.2 06.12.2007 no virus found CAT-QuickHeal 9.00 06.12.2007 no virus found ClamAV devel-20070416 06.12.2007 no virus found DrWeb 4.33 06.12.2007 no virus found eSafe 7.0.15.0 06.12.2007 Suspicious Trojan/Worm eTrust-Vet 30.7.3713 06.12.2007 no virus found Ewido 4.0 06.12.2007 no virus found FileAdvisor 1 06.12.2007 no virus found Fortinet 2.85.0.0 06.12.2007 no virus found F-Prot 4.3.2.48 06.12.2007 no virus found F-Secure 6.70.13030.0 06.12.2007 no virus found Ikarus T3.1.1.8 06.12.2007 no virus found Kaspersky 4.0.2.24 06.12.2007 no virus found McAfee 5051 06.12.2007 no virus found Microsoft 1.2503 06.12.2007 no virus found NOD32v2 2325 06.12.2007 no virus found Norman 5.80.02 06.12.2007 no virus found Panda 9.0.0.4 06.12.2007 Suspicious file Prevx1 V2 06.12.2007 no virus found Sophos 4.18.0 06.12.2007 no virus found Sunbelt 2.2.907.0 06.09.2007 VIPRE.Suspicious Symantec 10 06.12.2007 no virus found TheHacker 6.1.6.132 06.11.2007 no virus found VBA32 3.12.0.1 06.11.2007 no virus found VirusBuster 4.3.23:9 06.12.2007 no virus found Webwasher-Gateway 6.0.1 06.12.2007 Virus.Win32.FileInfector.gen (suspicious) Da verbirgt sich doch was... Was soll ich tun? |
Zitat:
Aber wir versuchen es mal.. Fixe bitte folgenden Eintrag: * O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\qudtkfbk.dll",realset * Dann lösche die folgende Datei mit Killbox "on reboot": " C:\WINDOWS\system32\qudtkfbk.dll " (beachte evtl. den link in meiner Signatur zuum Suchen von Dateien..) Dann befolge bitte die Anleitung zu MWAVE aus meiner Signatur mit folgenden Änderungen: 1. o.k. Die Auswertdatei herunterladen: File-Upload.net - Ihr kostenloser File Hoster! 2. o.k. 3. o.k. 4. Als Sprache ENGLISCH wählen 5.-10. o.k. Wenn was nicht klappt liegt das wahrscheinlich nicht an dir; melde dich dann einfach.. Gruß Undoreal |
hmm O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\qudtkfbk.dll",realset gibts nicht mehr, dafür aber O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\ssiityur.dll",realset ich versusuchs mal mit der Datei, scheint ja der nachfolger zu sein (AVG löscht dauernd Trojaner momentan wie schon beschrieben) Bevor ich damit anfange.... dauernd springen momentan bei mir Fenster auf vom IE sowas *** ich wunder mich dass dies ein antivirus werbung ist...seltsam |
Wahaaaaaaaaaa :teufel1: LEUTE ihr könnt doch nicht andauernd auf Schadseiten verlinken!!! Nicht auf den SystemDoctor klicken ! ! ! 404DNS.COM - SystemDoctor 2006 Free Lasse vor dem eScan mal SmitFraudFix über deinen Rechner bügeln. Anleitung ist dabei. Starte dein AV NICHT wenn du in den abgesicherten wechselst! Beim eScan auch nicht. Lasse SmitfraudFix solange laufen bis er nichts mehr findet. mfg Undoreal |
Öhm sorry, wusste nicht dass das schädlich ist... ich such gerade verzweifelt den EDIT Button um das rauszumachen bin aber zu blöd den zu finden. Wo isser denn? Ich hab dein Programm durchlaufen lassen, hat aber ewig gedauert bis nachts um 2 :( Weiss nicht ob ichs neu machen soll oder ob ich einfach in den abgesicherten Modus gehen soll und weiter machen soll ? soll ich SmitFraudFix im abgesicherten Modus starten? Und meinen AV (Antivirusscanner?) hab ich auch im abgesicherten modus niicht gestartet. Wie kamst du darauf? |
Also: Der Edit Button verschwindet nach 'ner Zeit. Das macht nachher dann ein Admin.. Zitat:
Das steht aber auch in der Anleitung!!! Lange dauern tut das immer.. bis zu 6 Std. Zitat:
der scan mit SmitfraudFix muss im abgesicherten Modus geschehen; und zwar so oft bis nichts mehr gefunden wird. Poste dann also das eScan log und das SmitfraudFix log. Gruß Undoreal |
Ok, ich hab nurnochmal nachgefragt. Hatte ich fast alles so gemacht wie dus gesagt hast. Nur den SmitFraudFix SCAN hab ich nicht im abgesicherten Modus gemacht sonder nur den CLEAN Prozess, so wie es in der Anleitung stand.... habs 2 mal durchgeführt und hier der log: SmitFraudFix v2.195 Scan done at 13:31:21,09, 13.06.2007 Run from C:\Downloads\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{D9F6D3A2-2856-4C7E-B57A-F4A1C0FA6E53}: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{D9F6D3A2-2856-4C7E-B57A-F4A1C0FA6E53}: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{D9F6D3A2-2856-4C7E-B57A-F4A1C0FA6E53}: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End |
Zitat:
Findet er jetzt nichts mehr? Dann führe den eScan durch. Gruß Undoreal |
Hi, mag zwar blöd klingen, aber woran seh ich ob er nichts mehr findet? Da steht nirgendwo "Virus found", woran erkennichs also? Ich hab versucht mit der minifind.bat datei den scan von gestern auszulesen aber irgendwie s tand dann nicht viel in der Textdatei drinnen, haupsächlich Überschriften. Momentan läuft ein 2ter scan und dürfte bald durch sein. BTW: Vielen Dank für deine Hilfe und deinen Einsatz! |
So ist fertig... und.,.. mist. die mini_find.bat arbeitet ewig und dann... nix.... die andere find.bat erstellt ne datei in der nix wirkliches steht, obwohl wärend das Programm lief ne ganze Menge gefunden wurde. Hier die Datei^^ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.05.07.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.2.7 Sprache: English Virus Database Date: 6/13/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Batchstart: 15:27:23,29 Batchende: 15:27:32,64 |
Hallo, öffne die mini_find.bat mit dem Editor und lösche diese Zeile: "if errorlevel 1 goto gerstats" Speichern. Sollte dann eigtl. funzen. Gruß |
So, ich hab mal vorsichtshalber das untere Fenster von dem Programm gespeichert :) Will nicht nochmal so lange warten... Hab die mini_find.bat Datei geändert und nach einigem Rechnen kam die Mitteilung: "Die Datei kann nicht in sich selber kopiert werden 0 Dateien kopiert Auswertung beendet" Trotzdem hats irgendwie funktioniert, raus kam: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Jun 13 13:55:59 2007 => System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Wed Jun 13 13:55:25 2007 => File C:\WINDOWS\system32\aynvtbcp.dll//Virtumonde//PE_Patch.UPX//UPX infected by "Trojan.Win32.BHO.bd" Virus! Action Taken: No Action Taken. Wed Jun 13 13:56:26 2007 => File C:\WINDOWS\system32\aynvtbcp.dll//Virtumonde//PE_Patch.UPX//UPX infected by "Trojan.Win32.BHO.bd" Virus! Action Taken: No Action Taken. Wed Jun 13 13:56:44 2007 => File C:\WINDOWS\system32\jjrgwknn.exe infected by "Trojan.Win32.Agent.anr" Virus! Action Taken: No Action Taken. Wed Jun 13 15:05:33 2007 => File C:\WINDOWS\system32\aynvtbcp.dll//Virtumonde//PE_Patch.UPX//UPX infected by "Trojan.Win32.BHO.bd" Virus! Action Taken: No Action Taken. Wed Jun 13 15:07:25 2007 => File C:\WINDOWS\system32\jjrgwknn.exe infected by "Trojan.Win32.Agent.anr" Virus! Action Taken: No Action Taken. Wed Jun 13 15:13:24 2007 => File G:\Games\Bridge_Builder\Bridge_Builder_1\bridge.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken. Wed Jun 13 15:13:25 2007 => File G:\Games\Bridge_Builder\Pontifex_1\Setup.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken. Wed Jun 13 15:16:55 2007 => File I:\Games\Bridge_Builder\Bridge_Builder_1\bridge.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken. Wed Jun 13 15:16:56 2007 => File I:\Games\Bridge_Builder\Pontifex_1\Setup.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Wed Jun 13 13:54:42 2007 => File C:\WINDOWS\system32\sstqq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. Wed Jun 13 13:54:44 2007 => File C:\WINDOWS\system32\iifdaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Wed Jun 13 13:55:25 2007 => File C:\WINDOWS\system32\iifdaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Wed Jun 13 13:55:25 2007 => File C:\WINDOWS\system32\sstqq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. Wed Jun 13 13:55:33 2007 => File C:\WINDOWS\system32\iifdaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Wed Jun 13 13:55:33 2007 => File C:\WINDOWS\system32\sstqq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. Wed Jun 13 13:56:42 2007 => File C:\WINDOWS\system32\iifdaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Wed Jun 13 13:56:48 2007 => File C:\WINDOWS\system32\ljjhgef.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Wed Jun 13 13:57:21 2007 => File C:\WINDOWS\system32\sstqq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. Wed Jun 13 14:07:41 2007 => File C:\Downloads\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken. Wed Jun 13 14:07:43 2007 => File C:\Downloads\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken. Wed Jun 13 15:07:23 2007 => File C:\WINDOWS\system32\iifdaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Wed Jun 13 15:07:28 2007 => File C:\WINDOWS\system32\ljjhgef.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Wed Jun 13 15:07:57 2007 => File C:\WINDOWS\system32\sstqq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Wed Jun 13 13:56:03 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!! Wed Jun 13 13:56:03 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!! Wed Jun 13 13:56:03 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Jun 13 15:24:55 2007 => Total Errors: 250 Wed Jun 13 15:24:55 2007 => Time Elapsed: 01:33:13 Wed Jun 13 15:24:55 2007 => Total Objects Scanned: 140632 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Jun 13 13:50:16 2007 => Memory Check: Enabled Wed Jun 13 13:50:16 2007 => Registry Check: Enabled Wed Jun 13 13:50:16 2007 => System Folder Check: Enabled Wed Jun 13 13:50:16 2007 => System Area Check: Disabled Wed Jun 13 13:50:16 2007 => Services Check: Enabled Wed Jun 13 13:50:16 2007 => Drive Check: Disabled Wed Jun 13 13:50:16 2007 => All Drive Check :Enabled Wed Jun 13 13:50:16 2007 => All Drive Check :Enabled |
So hab endlich wieder den abgesicherten Modus verlassen. Sehr interessant was ich da sehe. Ich habe zufällig das Spiel Bridge Builder demletzt installiert,( die gepackte Version lag aber schon lange auf der Platte) Also vermute ich da die Quelle des Übels? Was ist jetzt zu tun um das weg zu bekommen? Einfach deinstallieren? |
Zitat:
Deinstallier das Game allerdings ist es damit noch lange nicht getan. Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Mache den eScan noch einmal aber lasse den Haken bei "Scan only" weg. Danach lasse cCleaner dein System bereinigen. Ändere danach ALLE Passwörter. mfg Undoreal |
Hi, der Button bei "scan only" ist grau hinterlegt (war er schon die ganze Zeit) Ne andere Idee? |
Dann saug dir das Prog bitte mit einem der Downloadlinks aus der Anleitung nochmal. Bei mir ist da nichts grau hinterlegt..?..!.. Was ist den mit munseren Freunden von Microworld los im Moment??? Gruß Undoreal |
Hallo, das Spiel löschen und "smtfraud fix" nochmals nach Anleitung laufen lassen. Dann berichte,. Irrlicht |
Hab das Programm nochmal runtergeladen und ist immernoch grau. Und wenn ich scanne und der erste Virus gefunden wird, kommt auch nen Fenster da steht wenn ich die weghaben will muss ich das Programm kaufen. Ich versuch jetzt mal die andere Sache. |
Hi, hab nochmal ne kurze Frage. Wenn ich SmitfraudFix.exe ausführe und scannen lasse kommt ien Bericht. Ich versteh aber nicht wo ich daran sehe ob er ein Virus gefunden hat oder nincht.... Hier mal der Bericht: SmitFraudFix v2.195 Scan done at 22:09:09,73, 14.06.2007 Run from C:\Downloads\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\Programme\ewido anti-spyware 4.0\guard.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Java\jre1.5.0_09\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Free Download Manager\fdm.exe C:\Programme\MSN Messenger\usnsvc.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\PROGRA~1\Grisoft\AVG7\avgwb.dat C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Badrani »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Badrani\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Badrani\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport DNS Server Search Order: 192.168.0.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{D9F6D3A2-2856-4C7E-B57A-F4A1C0FA6E53}: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{D9F6D3A2-2856-4C7E-B57A-F4A1C0FA6E53}: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{D9F6D3A2-2856-4C7E-B57A-F4A1C0FA6E53}: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End |
editiert,weil ohne wirklichen Sinn... |
Hey ihr, Ihr habt mir doch schon so toll geholfen, nun isses doch nicht mehr weit :) Ich müsst halt wissen woran ich erkenne dass mir das Programm (SmitfraudFix) ausgibt das es was gefunden hat, sonst bringt mir das allse nichts. Oder wie soll ich den Virus denn sonst entfernen? Gruss B4Gaja |
:) Das kannst du im Log erkennen aber lasse es einfach vier mal durchlaufen dann passt das schon... hast du keine Probleme mehr? Gruß Undoreal |
Hi, genau das ist die Frage... WO im Log seh ich dass, ich hab ja eins schonmal gepostet. Wo seh ich da was? Und die Probleme sind immernoch da.... Ok ich lasses jetzt 4 mal durchlaufen... Edit: Habs jetzt nen paar mal durchlaufen lassen und jedes mal kam beim clearen: "Löschen der infizierten Dateien.... Das System kann die Datei ma angegebenen Pfad nicht finden" Hört sich nicht so an als würde es irgendetwas machen... Ne idee? |
Zitat:
:) poste halt nochmal ein log aber prinzipiell brauchst du im log nur zu gucken ob z.B. unter diesem Punkt: »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 ......................... also hier................................ etwas steht. Wenn unter keinem der Punkte etwas steht ist gut, wenn nicht ist schlecht und er haut es beim Cleanen weg. Die DNS Einträge im ersten log sind i.O. sonst hätte ich und Hijack schon lange gemeckert und an sonsten sah schon das erste log unauffällig aus. Hast du denn überhaupt noch Probleme? Gruß Undoreal |
Dashört sich doch schonmal gut an. Probleme habe ich noch 2: 1) Ab und zu poppt immernoch nen IE Fenster mit dem Link auf den ich mal gepostet hatte. 2) AVG Virenscanner findet immer wieder... so einmal am Tag... nen Trojaner unter /Temp oder /system32, sind irgendwelche .dll oder.exe dateien. Die löscht er dann schön aber sie kommen schnell wieder. K.A. wie ich das weg bekomme. Gruss B4Gaja |
Jo O.k. dann ist nichts gut. Neustart: Poste bitte ein frisches HJT log und führe einen eScan nach Anleitung in meiner Signatur durch. Gruß Undoreal |
Ok, mach ich gleich. Allerdings ist mir gerade übel geworden.. ich hab mal "Security Task Manager" laufen lassen und der hat einige Sachen als sehr gefährlich identifiziert: Im System32 Ordner: ibnrrrqp.dll iifdaba.dll sstqq.dll prflcsmg.dll Im Ordner vom Free Download Manager: iefdmcks.dll von Java: ssv.dll unter Zonealarm Spam Filter Hook und dann noch 2 mit zahlen und nummern versehene einträge bei denen in der beschreibung steht <ungültiger Regestry Eintrag> Was soll ic hda machen? Ihr bekommt gleich nen HJT log Edit: Hier der Hijack log ich mach jetzt den eScan obwohl ich nciht weiss was das bringen soll, wie gesagt kann escan nichts löschen sondern nur scannen. Logfile of HijackThis v1.99.1 Scan saved at 12:24:50, on 17.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\alg.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Java\jre1.5.0_09\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Free Download Manager\fdm.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Security Task Manager\TaskMan.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Downloads\hijackthis\HijackThis.exe O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\laajxrli.dll",realset O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
So, auch im HJT log ist noch was auffällig; hätte mich bei den Problemen auch gewundert wenn nicht. Lasse bitte folgende Datei auf VT überprüfen und poste den Bericht: " C:\WINDOWS\system32\laajxrli.dll " eScan dient uns als Analyse-Tool, nicht mehr und nicht weniger. Als es noch löschen konnte war das ganz nett aber manuell löschen geht genauso gut. Gruß Undoreal |
hier das Ergebnis von der Datei: AhnLab-V3 2007.6.16.0 06.15.2007 no virus found AntiVir 7.4.0.32 06.16.2007 ADSPY/Agent.DA Authentium 4.93.8 06.16.2007 no virus found Avast 4.7.997.0 06.16.2007 no virus found AVG 7.5.0.467 06.17.2007 Adware Generic2.DVF BitDefender 7.2 06.17.2007 no virus found CAT-QuickHeal 9.00 06.16.2007 no virus found ClamAV devel-20070416 06.17.2007 no virus found DrWeb 4.33 06.17.2007 no virus found eSafe 7.0.15.0 06.14.2007 Win32.Vundo eTrust-Vet 30.7.3721 06.15.2007 no virus found Ewido 4.0 06.17.2007 no virus found FileAdvisor 1 06.17.2007 Not analyzed yet Fortinet 2.85.0.0 06.17.2007 no virus found F-Prot 4.3.2.48 06.15.2007 no virus found F-Secure 6.70.13030.0 06.15.2007 no virus found Ikarus T3.1.1.8 06.17.2007 not-a-virus:AdWare.Win32.Virtumonde.ki Kaspersky 4.0.2.24 06.17.2007 not-a-virus:AdWare.Win32.Virtumonde.ki McAfee 5054 06.15.2007 no virus found Microsoft 1.2607 06.17.2007 no virus found NOD32v2 2334 06.15.2007 no virus found Norman 5.80.02 06.15.2007 W32/Virtumonde.dam Panda 9.0.0.4 06.16.2007 Spyware/Virtumonde Prevx1 V2 06.17.2007 no virus found Sophos 4.18.0 06.12.2007 no virus found Sunbelt 2.2.907.0 06.16.2007 VIPRE.Suspicious Symantec 10 06.17.2007 Trojan.Vundo TheHacker 6.1.6.133 06.15.2007 no virus found VBA32 3.12.0.2 06.15.2007 no virus found VirusBuster 4.3.23:9 06.16.2007 no virus found Webwasher-Gateway 6.0.1 06.16.2007 Ad-Spyware.Agent.DA |
so, hier der escan Bericht, diesmal steht viel mehr drinnen : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Jun 13 13:55:59 2007 => System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Wed Jun 13 13:55:25 2007 => File C:\WINDOWS\system32\aynvtbcp.dll//Virtumonde//PE_Patch.UPX//UPX infected by "Trojan.Win32.BHO.bd" Virus! Action Taken: No Action Taken. Wed Jun 13 13:56:26 2007 => File C:\WINDOWS\system32\aynvtbcp.dll//Virtumonde//PE_Patch.UPX//UPX infected by "Trojan.Win32.BHO.bd" Virus! Action Taken: No Action Taken. Wed Jun 13 13:56:44 2007 => File C:\WINDOWS\system32\jjrgwknn.exe infected by "Trojan.Win32.Agent.anr" Virus! Action Taken: No Action Taken. Wed Jun 13 15:05:33 2007 => File C:\WINDOWS\system32\aynvtbcp.dll//Virtumonde//PE_Patch.UPX//UPX infected by "Trojan.Win32.BHO.bd" Virus! Action Taken: No Action Taken. Wed Jun 13 15:07:25 2007 => File C:\WINDOWS\system32\jjrgwknn.exe infected by "Trojan.Win32.Agent.anr" Virus! Action Taken: No Action Taken. Wed Jun 13 15:13:24 2007 => File G:\Games\Bridge_Builder\Bridge_Builder_1\bridge.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken. Wed Jun 13 15:13:25 2007 => File G:\Games\Bridge_Builder\Pontifex_1\Setup.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken. Wed Jun 13 15:16:55 2007 => File I:\Games\Bridge_Builder\Bridge_Builder_1\bridge.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken. Wed Jun 13 15:16:56 2007 => File I:\Games\Bridge_Builder\Pontifex_1\Setup.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Wed Jun 13 13:54:42 2007 => File C:\WINDOWS\system32\sstqq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. Wed Jun 13 13:54:44 2007 => File C:\WINDOWS\system32\iifdaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Wed Jun 13 13:55:25 2007 => File C:\WINDOWS\system32\iifdaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Wed Jun 13 13:55:25 2007 => File C:\WINDOWS\system32\sstqq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. Wed Jun 13 13:55:33 2007 => File C:\WINDOWS\system32\iifdaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Wed Jun 13 13:55:33 2007 => File C:\WINDOWS\system32\sstqq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. Wed Jun 13 13:56:42 2007 => File C:\WINDOWS\system32\iifdaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Wed Jun 13 13:56:48 2007 => File C:\WINDOWS\system32\ljjhgef.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Wed Jun 13 13:57:21 2007 => File C:\WINDOWS\system32\sstqq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. Wed Jun 13 14:07:41 2007 => File C:\Downloads\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken. Wed Jun 13 14:07:43 2007 => File C:\Downloads\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken. Wed Jun 13 15:07:23 2007 => File C:\WINDOWS\system32\iifdaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Wed Jun 13 15:07:28 2007 => File C:\WINDOWS\system32\ljjhgef.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Wed Jun 13 15:07:57 2007 => File C:\WINDOWS\system32\sstqq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Wed Jun 13 13:56:03 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Jun 13 15:24:55 2007 => Total Errors: 250 Wed Jun 13 15:24:55 2007 => Time Elapsed: 01:33:13 Wed Jun 13 15:24:55 2007 => Total Objects Scanned: 140632 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Jun 13 13:50:16 2007 => Memory Check: Enabled Wed Jun 13 13:50:16 2007 => Registry Check: Enabled Wed Jun 13 13:50:16 2007 => System Folder Check: Enabled Wed Jun 13 13:50:16 2007 => System Area Check: Disabled Wed Jun 13 13:50:16 2007 => Services Check: Enabled Wed Jun 13 13:50:16 2007 => Drive Check: Disabled Wed Jun 13 13:50:16 2007 => All Drive Check :Enabled Wed Jun 13 13:50:16 2007 => All Drive Check :Enabled |
Leider geht der Editbutton schon nicht mehr.. mir ist aufgefallen dass ich: Wed Jun 13 15:13:24 2007 => File G:\Games\Bridge_Builder\Bridge_Builder_1\bridge.ex e infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken. Wed Jun 13 15:13:25 2007 => File G:\Games\Bridge_Builder\Pontifex_1\Setup.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken. Wed Jun 13 15:16:55 2007 => File I:\Games\Bridge_Builder\Bridge_Builder_1\bridge.ex e infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken. Wed Jun 13 15:16:56 2007 => File I:\Games\Bridge_Builder\Pontifex_1\Setup.exe infected by "Exe.Corrupted" Virus! Action Taken: No Action Taken. schon demletzt gelöscht hatte... wie kann er die jetzt noch bei nem escan finden? Die Dateien existieren nicht! |
Halli hallo. Zitat:
Lass bitte VudoFix mehrmals über dein System bügeln. (Anleitung im Link dabei) Schalte vorher die Systemwiederherstellung ab und ziehe alle Netzwerkstecker deines Rechners.. Danach führe den eScan nochmals aus und poste wieder das LogFile Gruß Undoreal |
Schaut doch mal auf das Scandatum :rolleyes: Zitat:
@B4Gaja: Durchsuche deinen Computer nach sämtlichen mwav.log, behalte nur das aktuelle, lösche die restlichen, lösche mal den Ordner bases_x unter C:\ komplett und starte die aktuelle find.bat neu. Grüsse |
Hmm alte log gekrallt... ok hab alles durchsucht.. es gibt nur 2 logfiles und die liegen in dem bases_x Ordner. Beide sind alte logs (Wed 13) ich hab sie gelöscht und werd neu scannen. dauert 2-3 stunden, danach log speichern und das andere program drüberlaufen lassen (VudoFix) und mich dann nochmal meldn... So nen Müll... Mal ne Frage. Das Problem lässt sich warscheinlich nicht damit umgehen dass ich alles auf ne Externe Platte ziehe und formatiere und neuinstalliere? Warscheinlich kopier ich dann den Virus mit, oder? hmm Gruss B4Gaja |
hier mal der Log BEVOR ich das andere Programm benutze: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun Jun 17 22:52:32 2007 => System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Sun Jun 17 22:52:52 2007 => File C:\WINDOWS\system32\aynvtbcp.dll//Virtumonde//PE_Patch.UPX//UPX infected by "Trojan.Win32.BHO.bd" Virus! Action Taken: No Action Taken. Mon Jun 18 00:08:19 2007 => File C:\WINDOWS\system32\aynvtbcp.dll//Virtumonde//PE_Patch.UPX//UPX infected by "Trojan.Win32.BHO.bd" Virus! Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Sun Jun 17 22:51:59 2007 => File C:\WINDOWS\system32\sstqq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. Sun Jun 17 22:52:00 2007 => File C:\WINDOWS\system32\iifdaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Sun Jun 17 22:52:10 2007 => File C:\WINDOWS\system32\iifdaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Sun Jun 17 22:52:10 2007 => File C:\WINDOWS\system32\sstqq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. Sun Jun 17 22:52:16 2007 => File C:\WINDOWS\system32\iifdaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Sun Jun 17 22:52:16 2007 => File C:\WINDOWS\system32\sstqq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. Sun Jun 17 22:53:05 2007 => File C:\WINDOWS\system32\hhajhctq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Sun Jun 17 22:53:07 2007 => File C:\WINDOWS\system32\iifdaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Sun Jun 17 22:53:13 2007 => File C:\WINDOWS\system32\laajxrli.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Sun Jun 17 22:53:13 2007 => File C:\WINDOWS\system32\ljjhgef.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Sun Jun 17 22:53:47 2007 => File C:\WINDOWS\system32\sstqq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. Sun Jun 17 22:54:12 2007 => File C:\!KillBox\ssiityur.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Sun Jun 17 22:55:26 2007 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\prflcmsg.dll.q_8046037_q//UPX tagged as "not-a-virus:AdWare.Win32.Stud.a". Action Taken: No Action Taken. Sun Jun 17 23:01:35 2007 => File C:\Downloads\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken. Sun Jun 17 23:01:36 2007 => File C:\Downloads\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken. Mon Jun 18 00:10:17 2007 => File C:\WINDOWS\system32\hhajhctq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Mon Jun 18 00:10:19 2007 => File C:\WINDOWS\system32\iifdaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Mon Jun 18 00:10:25 2007 => File C:\WINDOWS\system32\laajxrli.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Mon Jun 18 00:10:25 2007 => File C:\WINDOWS\system32\ljjhgef.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Mon Jun 18 00:11:09 2007 => File C:\WINDOWS\system32\sstqq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mon Jun 18 00:19:32 2007 => Total Errors: 43 Mon Jun 18 00:19:32 2007 => Time Elapsed: 01:26:13 Mon Jun 18 00:19:32 2007 => Total Objects Scanned: 115821 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun Jun 17 22:51:43 2007 => Memory Check: Enabled Sun Jun 17 22:51:43 2007 => Registry Check: Enabled Sun Jun 17 22:51:43 2007 => System Folder Check: Enabled Sun Jun 17 22:51:43 2007 => System Area Check: Disabled Sun Jun 17 22:51:43 2007 => Services Check: Enabled Sun Jun 17 22:51:43 2007 => Drive Check: Disabled Sun Jun 17 22:51:43 2007 => All Drive Check :Enabled Sun Jun 17 22:51:43 2007 => All Drive Check :Enabled |
:) Zitat:
Aber du hast es bestimmt mit bestimmten Überlegungen nochmal gepostet.. Die würde ich gerne erfahren.. Gruß Undoreal |
Hoi, ja meine Überlegung war, dass es eben NICHT derselbe log ist wie unten. Denn wie ordell1234 festgestellt hat, war das ein alter log... darum hab ich nen neuen gemacht. Ich hab jetzt VundoFix laufen lassen, der hat beim erstenmal alles weggemacht und ab dann findet er nix mehr... mal sehn obs jetzt fertig ist. Soll ich trotzdem noch nen escan machen? Mal ne Frage nebenher. Weshalb leistet ein kostenloses Programm wie VundoFix mehr, als die gorssen Programme wie die Adware oder AVG Programme? |
Zitat:
Zitat:
mfg Undoreal |
hier das neue log :( Ist ja immernoch nicht sauber.... was nun? Daten sichern, formatieren, neuinstallieren? Edit: hmm einfach nur löschen der log dateien hilft nicht, ich muss es im programm löschen... sind wieder die scanns von heute und gestern vermischt :/ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun Jun 17 22:52:32 2007 => System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: No Action Taken. Mon Jun 18 13:05:16 2007 => System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Sun Jun 17 22:52:52 2007 => File C:\WINDOWS\system32\aynvtbcp.dll//Virtumonde//PE_Patch.UPX//UPX infected by "Trojan.Win32.BHO.bd" Virus! Action Taken: No Action Taken. Mon Jun 18 00:08:19 2007 => File C:\WINDOWS\system32\aynvtbcp.dll//Virtumonde//PE_Patch.UPX//UPX infected by "Trojan.Win32.BHO.bd" Virus! Action Taken: No Action Taken. Mon Jun 18 14:02:35 2007 => File C:\VundoFix Backups\aynvtbcp.dll.bad//Virtumonde//PE_Patch.UPX//UPX infected by "Trojan.Win32.BHO.bd" Virus! Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Sun Jun 17 22:51:59 2007 => File C:\WINDOWS\system32\sstqq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. Sun Jun 17 22:52:00 2007 => File C:\WINDOWS\system32\iifdaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Sun Jun 17 22:52:10 2007 => File C:\WINDOWS\system32\iifdaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Sun Jun 17 22:52:10 2007 => File C:\WINDOWS\system32\sstqq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. Sun Jun 17 22:52:16 2007 => File C:\WINDOWS\system32\iifdaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Sun Jun 17 22:52:16 2007 => File C:\WINDOWS\system32\sstqq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. Sun Jun 17 22:53:05 2007 => File C:\WINDOWS\system32\hhajhctq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Sun Jun 17 22:53:07 2007 => File C:\WINDOWS\system32\iifdaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Sun Jun 17 22:53:13 2007 => File C:\WINDOWS\system32\laajxrli.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Sun Jun 17 22:53:13 2007 => File C:\WINDOWS\system32\ljjhgef.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Sun Jun 17 22:53:47 2007 => File C:\WINDOWS\system32\sstqq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. Sun Jun 17 22:54:12 2007 => File C:\!KillBox\ssiityur.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Sun Jun 17 22:55:26 2007 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\prflcmsg.dll.q_8046037_q//UPX tagged as "not-a-virus:AdWare.Win32.Stud.a". Action Taken: No Action Taken. Sun Jun 17 23:01:35 2007 => File C:\Downloads\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken. Sun Jun 17 23:01:36 2007 => File C:\Downloads\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken. Mon Jun 18 00:10:17 2007 => File C:\WINDOWS\system32\hhajhctq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Mon Jun 18 00:10:19 2007 => File C:\WINDOWS\system32\iifdaba.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Mon Jun 18 00:10:25 2007 => File C:\WINDOWS\system32\laajxrli.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Mon Jun 18 00:10:25 2007 => File C:\WINDOWS\system32\ljjhgef.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Mon Jun 18 00:11:09 2007 => File C:\WINDOWS\system32\sstqq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. Mon Jun 18 13:05:50 2007 => File C:\WINDOWS\system32\hhajhctq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Mon Jun 18 13:05:58 2007 => File C:\WINDOWS\system32\laajxrli.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Mon Jun 18 13:06:57 2007 => File C:\!KillBox\ssiityur.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Mon Jun 18 13:08:43 2007 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\prflcmsg.dll.q_8046037_q//UPX tagged as "not-a-virus:AdWare.Win32.Stud.a". Action Taken: No Action Taken. Mon Jun 18 13:17:09 2007 => File C:\Downloads\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken. Mon Jun 18 13:17:11 2007 => File C:\Downloads\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken. Mon Jun 18 14:02:35 2007 => File C:\VundoFix Backups\iifdaba.dll.bad tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Mon Jun 18 14:02:35 2007 => File C:\VundoFix Backups\ljjhgef.dll.bad tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Mon Jun 18 14:02:36 2007 => File C:\VundoFix Backups\sstqq.dll.bad//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. Mon Jun 18 14:14:30 2007 => File C:\WINDOWS\system32\hhajhctq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Mon Jun 18 14:14:36 2007 => File C:\WINDOWS\system32\laajxrli.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mon Jun 18 00:19:32 2007 => Total Errors: 43 Mon Jun 18 14:34:47 2007 => Total Errors: 45 Mon Jun 18 00:19:32 2007 => Time Elapsed: 01:26:13 Mon Jun 18 14:34:47 2007 => Time Elapsed: 01:29:22 Mon Jun 18 00:19:32 2007 => Total Objects Scanned: 115821 Mon Jun 18 14:34:47 2007 => Total Objects Scanned: 138510 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun Jun 17 22:51:43 2007 => Memory Check: Enabled Mon Jun 18 13:03:49 2007 => Memory Check: Enabled Sun Jun 17 22:51:43 2007 => Registry Check: Enabled Mon Jun 18 13:03:49 2007 => Registry Check: Enabled Sun Jun 17 22:51:43 2007 => System Folder Check: Enabled Mon Jun 18 13:03:49 2007 => System Folder Check: Enabled Sun Jun 17 22:51:43 2007 => System Area Check: Disabled Mon Jun 18 13:03:49 2007 => System Area Check: Disabled Sun Jun 17 22:51:43 2007 => Services Check: Enabled Mon Jun 18 13:03:49 2007 => Services Check: Enabled Sun Jun 17 22:51:43 2007 => Drive Check: Disabled Sun Jun 17 22:51:43 2007 => All Drive Check :Enabled Mon Jun 18 13:03:49 2007 => Drive Check: Disabled Mon Jun 18 13:03:49 2007 => All Drive Check :Enabled Sun Jun 17 22:51:43 2007 => All Drive Check :Enabled Mon Jun 18 13:03:49 2007 => All Drive Check :Enabled |
Hmm, ich finde es sehr schade dass der Edit Button verschwindet... so muss ich hier rumspammen :( HIer der aktuelle log, ohne das Zeug von gestern. Seh ich das richtig dass, das Programm bei vielen Dateien sagt, dass es kein Virus ist, weil er AdWare fragt? Oder was bedeutet das? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mon Jun 18 14:53:46 2007 => System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Mon Jun 18 15:50:39 2007 => File C:\VundoFix Backups\aynvtbcp.dll.bad//Virtumonde//PE_Patch.UPX//UPX infected by "Trojan.Win32.BHO.bd" Virus! Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Mon Jun 18 14:54:18 2007 => File C:\WINDOWS\system32\hhajhctq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Mon Jun 18 14:54:29 2007 => File C:\WINDOWS\system32\laajxrli.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Mon Jun 18 14:55:29 2007 => File C:\!KillBox\ssiityur.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Mon Jun 18 14:57:04 2007 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\prflcmsg.dll.q_8046037_q//UPX tagged as "not-a-virus:AdWare.Win32.Stud.a". Action Taken: No Action Taken. Mon Jun 18 15:05:53 2007 => File C:\Downloads\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken. Mon Jun 18 15:05:54 2007 => File C:\Downloads\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken. Mon Jun 18 15:50:39 2007 => File C:\VundoFix Backups\iifdaba.dll.bad tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Mon Jun 18 15:50:39 2007 => File C:\VundoFix Backups\ljjhgef.dll.bad tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Mon Jun 18 15:50:40 2007 => File C:\VundoFix Backups\sstqq.dll.bad//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. Mon Jun 18 16:00:07 2007 => File C:\WINDOWS\system32\hhajhctq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Mon Jun 18 16:00:14 2007 => File C:\WINDOWS\system32\laajxrli.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mon Jun 18 16:16:01 2007 => Total Errors: 45 Mon Jun 18 16:16:01 2007 => Time Elapsed: 01:21:45 Mon Jun 18 16:16:01 2007 => Total Objects Scanned: 138541 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mon Jun 18 14:53:08 2007 => Memory Check: Enabled Mon Jun 18 14:53:08 2007 => Registry Check: Enabled Mon Jun 18 14:53:08 2007 => System Folder Check: Enabled Mon Jun 18 14:53:08 2007 => System Area Check: Disabled Mon Jun 18 14:53:08 2007 => Services Check: Enabled Mon Jun 18 14:53:08 2007 => Drive Check: Disabled Mon Jun 18 14:53:08 2007 => All Drive Check :Enabled Mon Jun 18 14:53:08 2007 => All Drive Check :Enabled |
Das ist hart. Die Dateien die jetzt noch im log erscheinen musst du alle von hand im abgesicherten Modus löschen. Benutze dazu PocketKillbox und die Option "delet on reboot". Nach der letzten eingefügten Datei klickst du auf " "Yes" den Computer neustarten:blabla: ". Dann surfe bitte mal wieder etwas im Netz herum und poste danach ein frisches eScan log. Gruß Undoreal |
Hi, hab alles mit Killbox gelöscht. Allerdings sind jetzt komische dlls im Killbox ordner. Ist das Normal? Die meisten Dateien waren unter C:/VundoFix Backups ist das nen Viren Vault oder schlimm? Ich hab auch die Datei von Killb ox selber gelöscht, obwohl ich nicht glaube dass sie befallen ist oder? Genau das selbe mit den Dateien von SmitfraudFix.exe? Und nochmal die Frage von oben: Hilft es wenn ich meine Daten scihere und formatiere und neuinstalliere? Gruss B4Gaja |
Bei den Dateien im Killbox und SmitFraudFix Ordner handelt es sich um die Backups. Kannst du löschen. Zitat:
Wenn du mir jetzt ein neues eScan log postest kann ich dir sagen ob du den Aufwand betreiben solltest oder nicht. |
Wird gemacht chef, ich mach jetzt gleich nen scan, poste dann in 90 mins. Neu aufsetzten ist halt arbeit, und ich will halt wissen ob dann alles weg ist. Nicht dass ich daten sicher, alles neumach, und dann durch die gesicherten Daten alles beim alten bleibt. Bin gespannt auf deine Meinung. Log folgt... Gruss B4Gaja |
So scan ist durch.. noch 2 Sachen: 1) Ich war jetzt nicht lange im Netz vor dem scan... 2) ich bekomm jetzt immer beim start von Windows einen RunDLL Fehler "Fehler beim Laden von C:\Windows\System32\hhajhctq.dll Das angegebene Modul wurde nicht gefunden" Edit: Btw, hab jetzt den Papierkorp geleert^^ Hier der Scan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Jun 19 19:37:05 2007 => System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Tue Jun 19 20:36:08 2007 => File C:\RECYCLER\S-1-5-21-1547161642-1202660629-725345543-1003\Dc6\aynvtbcp.dll.bad//Virtumonde//PE_Patch.UPX//UPX infected by "Trojan.Win32.BHO.bd" Virus! Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Tue Jun 19 19:40:38 2007 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\prflcmsg.dll.q_8046037_q//UPX tagged as "not-a-virus:AdWare.Win32.Stud.a". Action Taken: No Action Taken. Tue Jun 19 19:49:10 2007 => File C:\Downloads\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken. Tue Jun 19 19:49:11 2007 => File C:\Downloads\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken. Tue Jun 19 20:36:08 2007 => File C:\RECYCLER\S-1-5-21-1547161642-1202660629-725345543-1003\Dc1.bad tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Tue Jun 19 20:36:09 2007 => File C:\RECYCLER\S-1-5-21-1547161642-1202660629-725345543-1003\Dc6\hhajhctq.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Tue Jun 19 20:36:09 2007 => File C:\RECYCLER\S-1-5-21-1547161642-1202660629-725345543-1003\Dc6\hhajhctq.dll( 3)//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Tue Jun 19 20:36:09 2007 => File C:\RECYCLER\S-1-5-21-1547161642-1202660629-725345543-1003\Dc6\laajxrli.dll//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Tue Jun 19 20:36:09 2007 => File C:\RECYCLER\S-1-5-21-1547161642-1202660629-725345543-1003\Dc6\laajxrli.dll( 4)//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Tue Jun 19 20:36:09 2007 => File C:\RECYCLER\S-1-5-21-1547161642-1202660629-725345543-1003\Dc6\laajxrli.dll( 5)//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Tue Jun 19 20:36:09 2007 => File C:\RECYCLER\S-1-5-21-1547161642-1202660629-725345543-1003\Dc6\ljjhgef.dll.bad tagged as "not-a-virus:AdWare.Win32.Virtumonde.jp". Action Taken: No Action Taken. Tue Jun 19 20:36:09 2007 => File C:\RECYCLER\S-1-5-21-1547161642-1202660629-725345543-1003\Dc6\ssiityur.dll( 1)//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.ki". Action Taken: No Action Taken. Tue Jun 19 20:36:09 2007 => File C:\RECYCLER\S-1-5-21-1547161642-1202660629-725345543-1003\Dc6\sstqq.dll.bad//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. Tue Jun 19 20:36:09 2007 => File C:\RECYCLER\S-1-5-21-1547161642-1202660629-725345543-1003\Dc6\sstqq.dll.bad( 2)//PE_Patch.PECompact tagged as "not-a-virus:AdWare.Win32.Virtumonde.fp". Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Jun 19 21:07:24 2007 => Total Errors: 45 Tue Jun 19 21:07:24 2007 => Time Elapsed: 01:29:25 Tue Jun 19 21:07:24 2007 => Total Objects Scanned: 139070 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Jun 19 19:35:39 2007 => Memory Check: Enabled Tue Jun 19 19:35:39 2007 => Registry Check: Enabled Tue Jun 19 19:35:39 2007 => System Folder Check: Enabled Tue Jun 19 19:35:39 2007 => System Area Check: Disabled Tue Jun 19 19:35:39 2007 => Services Check: Enabled Tue Jun 19 19:35:39 2007 => Drive Check: Disabled Tue Jun 19 19:35:39 2007 => All Drive Check :Enabled Tue Jun 19 19:35:39 2007 => All Drive Check :Enabled |
Zitat:
Zitat:
wenn das Problem immer noch besteht: Start->ausführen->" regedit " 1) Registrierung exportieren. 2) Suchen->" hhajhctq.dll " -> löschen.. Undoreal |
und wie bekomme ich jtzt den Virus weg? Oder ist er schon weg? Ich werd noch nicht so ganz shclau aus den ganzen logs.. Gruss B4Gaja |
Wenn du deinen appierkorb gelehrt hast. Den Reg-Eintrag gefunden und gelöscht hast sowie cCleaner laufen hattest. Bist du Viren frei. Gruß Undoreal |
Hi Ich dank dir vielmals für die Hilfe :) Endlich wieder virenfrei^^ Danke. Wenn nochwas sein sollte, werd ich mich melden. Gruss B4Gaja |
6 Tage später: Hi ich hab heute nochmal nen Test gemacht um zu shcauen wies aussieht und könnte schreien!! Hat alles nichts gebracht. Könnt ihr mir sagen was ich machen soll um meinen PC endlich sauber zu bekommen??????? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Jun 26 18:09:48 2007 => System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Tue Jun 26 18:08:10 2007 => File C:\WINDOWS\system32\drxyskah.dll//Virtumonde//PE_Patch.UPX//UPX tagged as "not-a-virus:AdWare.Win32.Virtumonde.kj". Action Taken: No Action Taken. Tue Jun 26 18:10:11 2007 => File C:\WINDOWS\system32\drxyskah.dll//Virtumonde//PE_Patch.UPX//UPX tagged as "not-a-virus:AdWare.Win32.Virtumonde.kj". Action Taken: No Action Taken. Tue Jun 26 18:12:59 2007 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\ibnrrrqp.dll.q_804F434_q//Virtumonde//PE_Patch.UPX//UPX tagged as "not-a-virus:AdWare.Win32.Virtumonde.kj". Action Taken: No Action Taken. Tue Jun 26 18:13:01 2007 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\prflcmsg.dll.q_8046037_q//UPX tagged as "not-a-virus:AdWare.Win32.Stud.a". Action Taken: No Action Taken. Tue Jun 26 18:19:05 2007 => File C:\Downloads\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken. Tue Jun 26 18:19:06 2007 => File C:\Downloads\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken. Tue Jun 26 19:20:22 2007 => File C:\WINDOWS\system32\drxyskah.dll//Virtumonde//PE_Patch.UPX//UPX tagged as "not-a-virus:AdWare.Win32.Virtumonde.kj". Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Jun 26 19:31:44 2007 => Total Errors: 6 Tue Jun 26 19:31:44 2007 => Time Elapsed: 01:23:00 Tue Jun 26 19:31:43 2007 => Total Objects Scanned: 112539 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Jun 26 18:06:27 2007 => Memory Check: Enabled Tue Jun 26 18:06:27 2007 => Registry Check: Enabled Tue Jun 26 18:06:27 2007 => System Folder Check: Enabled Tue Jun 26 18:06:27 2007 => System Area Check: Disabled Tue Jun 26 18:06:27 2007 => Services Check: Enabled Tue Jun 26 18:06:27 2007 => Drive Check: Disabled Tue Jun 26 18:06:27 2007 => All Drive Check :Enabled Tue Jun 26 18:06:27 2007 => All Drive Check :Enabled |
-Systemwiederherstellung deaktivieren. -Alles im log gezeigten Daten mit Killbox löschen. Mit Ausnahme von SmitfraudFix und dem STM natürlich. -Danach VudoFix mehrmals laufen lassen. -Dann mit AdAware und Spybot gucken und cCleaner aufräumen lassen.. -Danach würde ich mal deas ServicePack2 neuaufspielen und ein Windows Update durchführen.. Oder setze den Rechner gleich neu auf.. Gruß Undoreal |
Danke ich werd ihn neu aufsetzten, den Rest hatte ich ja schon bersucht. Gruss B4Gaja |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:01 Uhr. |
Copyright ©2000-2025, Trojaner-Board