Trojaner-Board - verzeifelt, trojan.Perfcoo u. trojan.KillAV

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - verzeifelt, trojan.Perfcoo u. trojan.KillAV (https://www.trojaner-board.de/44635-verzeifelt-trojan-perfcoo-u-trojan-killav.html)

verzeifelt, trojan.Perfcoo u. trojan.KillAV

Hallo,

nach den durchlauf von norton bekam ich die meldung
trojan.Perfcoo und trojan.KillAv gefunden.
dann meldete er das er nur teilweise reparieren bzw entfernen kann
dann ließ ich noch spydoctor laufen, der behauptet, der pc wär virusfrei....
nur ich habe keine systemsteuerung und kann die systemwiederherstellung nicht deaktivieren wie hier beschrieben.

meine HJt log sieht zur zeit wie folgt aus:
********************************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:52:08, on 14.10.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\cmd.exe
C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S3.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S36.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKLM\..\RunOnce: [ScanNClnPostRbt] C:\Programme\Norton Security Scan\Nss.exe /OnReboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Speedport W 100 Stick WLAN Manager.lnk = C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183833785185
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\sulimo.dat
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

--
End of file - 5212 bytes

*******************************************

ich befürchte, nach einem neustart siehts wieder anders aus.
außerdem, könnte ich bitte einen hinweis haben, wie ich in abgesicherten
modus boote? sorry ich vergess immer viel...
falls es jemanden interessiert, ich weiß genau von welcher seite ich den mit habe.

gruß
myriaah

Hallo,

so siehts nach einem neustart aus, an die systemsteurung komme ich nicht
ran, also immer noch keine deaktivierung der wiederherstellung

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:19:23, on 15.10.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WgaTray.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE
C:\WINDOWS\System32\WinAvXX.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\VirusSchlacht\ugcw.exe
C:\Programme\VirusSchlacht\pgs.exe
C:\Programme\Norton Security Scan\Nss.exe
C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für HiJackThis.zip\HijackThis.exe

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: CIEIntegrator Object - {7A7F202E-AF91-4889-9DD5-2FE241085CC1} - C:\Programme\VirusSchlacht\Tools\pg.dll
O2 - BHO: IEFW Object - {FAAD2038-C371-473D-86F1-5B11D39C3775} - C:\Programme\VirusSchlacht\Tools\IEFWBHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S3.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S36.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKLM\..\Run: [VirusSchlacht] C:\Programme\VirusSchlacht\pgs.exe
O4 - HKLM\..\Run: [ugcw] "C:\PROGRA~1\GEMEIN~1\VIRUSS~1\ugcw.exe" -start
O4 - HKLM\..\Run: [rtasks] C:\Programme\VirusSchlacht\rtasks.exe
O4 - HKLM\..\RunOnce: [freinst] "C:\Programme\VirusSchlacht\pgs.exe" /empty
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Speedport W 100 Stick WLAN Manager.lnk = C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1183833785185
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\sulimo.dat
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

--
End of file - 5738 bytes

wie kann ich im abgesicherten modus die systemwiederherstellung deaktivieren, und wie komm
ich dahin?
und wie krieg den mi*t dann weg?

Hallo,

hab die beiden links zu spät gesehen, ich find keinen button zum editieren.
sorry

Hi,

Du bist u. a. einem Fake-Scanner aufgesessen (popupg.dll - AVSystemCare, http://www.symantec.com/enterprise/secur ity_response/writeup.jsp?docid=2007-0615 09-3222-99 - - rogue "security software" using false positives as goad to purchase. A member of the SmitFraud)
(hast Du AVSystemCare was installiert?),

dann solltest Du unbedingt folgende Dateien Online Untersuchungen lassen:
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIB VE.EXE
C:\WINDOWS\System32\WinAvXX.exe
C:\WINDOWS\System32\printer.exe
C:\Programme\VirusSchlacht\rtasks.exe
C:\Programme\VirusSchlacht\pgs.exe
C:\WINDOWS\System32\sulimo.dat
C:\WINDOWS\System32\system.exe
C:\WINDOWS\System32\autorun.exe

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
VirusTotal - Free Online Virus and Malware Scan

Poste alle Ergebnisse mit Filename!

Dein Zugriff auf die Registry wurde gesperrt:
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

Das gibt eine etwas größere Schlacht, ev. neu aufsetzten besser:

Hier ein schneller Fix der sicher bösartigen Einträgen:
Avenger
avenger.zip - The Avenger
Input script manually (anhaken)
kopiere in: View/edit script

Zitat:

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|WinAVX
HKCU\Software\Microsoft\Windows\CurrentVersion\Run|WinAVX

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Files to delete:
C:\WINDOWS\System32\printer.exe
C:\WINDOWS\System32\sulimo.dat
C:\WINDOWS\System32\WinAvXX.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Folgende Einträge mit HJ-fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat:

O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - Global Startup: autorun.exe
O4 - Startup: system.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

Abgesicherter Modus: Beim Booten F8 drücken!

Chris

Von AVsystem care habe ich nichts installiert, zumindest nicht bewußt.

auf die seite virustotal VirusTotal - Free Online Virus and Malware Scan habe ich keinen
zugriff, <seite kann nicht angezeigt werden>

das die registry gesperrt ist, ist mir auch klar.

Avenger, was macht der?
du schreibst:<Hier ein schneller Fix der sicher bösartigen Einträgen:>......

und irgenwie gruselt mir vor neustarten, da "es" sich immer wieder neueinträgt....

ich erinnere mit an zeiten, wo man irgendwie im abgesicherten modus das sich wiedereintragen beendete

sorry, leider kann ich dir nicht ganz folgen, weil an den entscheidenden stellenin deinem post immer ein zwei worte fehlen

bitte nicht böse sein, aber ich kann es nicht nachvollziehen

Hi,

Avenger entfernt sowohl die Dateien die unter Files eingetragen sind (packt sie in eine Backupdateien) und löscht die angegebenen Registryeinträge.
(Das sind u. a. die Starteinträge der Trojaner (Run...) als auch der App_initdll-Eintrag [dafür wird ein Dummyeintrag erzeugt]).

Um vor den Trojanern gestartet zu werden, trägt sich Avenger in entsprechende Booteinträge ein, d.h. der Rechner wird von Avenger neu gestartet, dann wird die Liste abgearbeitet (bevor die Viren/Trojaner laufen),
das Backup erstellt und ein Protokoll erzeugt (Das bitte posten)...

Dazu gehst Du einfach wie beschrieben vor (bzw. wie untern avenger.zip - The Avenger) und kopierst den entsprechenden Text rein (ohne Zitat!)

HJ-erledigt dann den Rest der Arbeit!

Chris

so jetzt erstmal avenger file:
\Registry\Machine\System\CurrentControlSet\Services\rcibycki

*******************

Script file located at: \??\C:\rdxwcrgu.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\System32\printer.exe deleted successfully.

File C:\WINDOWS\System32\sulimo.dat not found!
Deletion of file C:\WINDOWS\System32\sulimo.dat failed!

Could not process line:
C:\WINDOWS\System32\sulimo.dat
Status: 0xc0000034

File C:\WINDOWS\System32\WinAvXX.exe deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|WinAVX deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.

hj mach ich jetzt
allerdings krieg ich für google keinen server mehr,
irgendwie wirds immer "enger" ;)

so nu den HJ, allerdings ist der pc bis jetzt nicht durch das programm neugestartet.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:19:22, on 15.10.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\WgaTray.exe
C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S3.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S36.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [ugcw] "C:\PROGRA~1\GEMEIN~1\VIRUSS~1\ugcw.exe" -start
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Speedport W 100 Stick WLAN Manager.lnk = C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://www.update.microsoft.c...?1183833785185
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://h**p://security.symantec.com/.../bin/cabsa.cab
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

--
End of file - 4636 bytes

hmmmmm,
meine systemsteuerung hab ich immer noch nicht zurück, da ich mich wegen einschränkungen, die für diesen computer gelten an den systemadministrator wenden soll

der norton hat nach dem neustart außer einem tracer nichts mehr gefunden

es macht mich ganz kirre meinem pc nicht trauen zu können,
außerdem kann man nicht wirklich arbeiten, wenn man keine passwörter etc. benutzen will, das für den email account mußte ja schon wegen der anmeldung hier sein.

hofftentlich kannst du, oder jemand anderes sehen, wie weit es mir gelungen ist.....

danke, das es dieses board gibt!

Hi,

tut die Systemwiederherstellung noch?
Dann erstelle mal als erstes einen Wiederherstellungspunkt!
Was macht der Regedit? Tut der wieder (brauchen wir später wieder)...

Dann geht es weiter:
Loadingpoints von Programmen.
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

Danach Escan:
http://www.trojaner-board.de/42731-escan-anleitung.html

Poste alles was nicht Cookie ist (sonst werden wir hier erschlagen)!

Das mit der Systemsteuerung machen wir danach...

Chris

:) die systemwiederherstellung tutet noch

cookies etc. vor anwendung von avenger gelöscht :)

wie kann ich regedit prüfen?

Hi,

start->ausführen->regedit.exe eingeben...
Dann sollte er hochfahren...

Geht der abgesicherte Modus, und krame mal in der Erinnerung nach, wie der Admin des Rechners heisst samt Passwort...
(Beim Einrichten von XP will er mindestens noch einen Admin anlegen lassen, der normalerweise nicht bei normalstart angezeigt wird, nur im abgesicherten Modus). Den brauchen wir um uns die Berechtigungen zurückzuholen, wenn wir den Rest gefunden und gekillt haben...

Chris

der silentrunner lastet meinen cpu zu fast 100% aus

der admin heißt admin ;)

und das password befindet in meiner handschriftlichen pc-kladde ;)

weiß nicht wie lang der runner bei cpu auslastung rennt...............

deshalb: bin jetzt für ca. 1 std weg, geh im nachbarort terminal banken ;)

ok?

Hi,

ist möglich, er durchforstet die Registry nach Starteinträgen, hoffe er läuft bis zum Ende durch. Escan nicht vergessen;
Will sichergehen, dass wir alles erwischen bevor wir versuchen Dir den Zugriff wieder zu ermöglichen (wobei es wäre wahrscheinlich sicherer den Rechner neu aufzusetzten)...

Chris
Ps.: Bin nur noch eine halbe Stunde da, dann darf ein andere Übernehmen!
Oder morgen weiter machen...

dann erstmal danke

ich kann den pc am wochenende nochmal mit einem 2. pc scannen, aber bis dahin
brauch ich ein paar email und online konten, is nix super brisantes.
und leider hat das letzte neuaufsetzen 8 wochen gebraucht, war nix mit plug & play....
aber wenns denn sein muß................
nochmal herzlichen dank bis hier her