|
verzeifelt, trojan.Perfcoo u. trojan.KillAV Hallo, nach den durchlauf von norton bekam ich die meldung trojan.Perfcoo und trojan.KillAv gefunden. dann meldete er das er nur teilweise reparieren bzw entfernen kann dann ließ ich noch spydoctor laufen, der behauptet, der pc wär virusfrei.... nur ich habe keine systemsteuerung und kann die systemwiederherstellung nicht deaktivieren wie hier beschrieben. meine HJt log sieht zur zeit wie folgt aus: ******************************** Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:52:08, on 14.10.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\Programme\Picasa2\PicasaMediaDetector.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\MSMSGS.EXE C:\Programme\Yahoo!\Messenger\YahooMessenger.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\WgaTray.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\system32\cmd.exe C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S3.tmp" /EF "HKLM" O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S36.tmp" /EF "HKLM" O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe O4 - HKLM\..\RunOnce: [ScanNClnPostRbt] C:\Programme\Norton Security Scan\Nss.exe /OnReboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: system.exe O4 - Global Startup: autorun.exe O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Speedport W 100 Stick WLAN Manager.lnk = C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183833785185 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O20 - AppInit_DLLs: C:\WINDOWS\System32\sulimo.dat O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe -- End of file - 5212 bytes ******************************************* ich befürchte, nach einem neustart siehts wieder anders aus. außerdem, könnte ich bitte einen hinweis haben, wie ich in abgesicherten modus boote? sorry ich vergess immer viel... falls es jemanden interessiert, ich weiß genau von welcher seite ich den mit habe. gruß myriaah |
Hallo, so siehts nach einem neustart aus, an die systemsteurung komme ich nicht ran, also immer noch keine deaktivierung der wiederherstellung Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 03:19:23, on 15.10.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\WgaTray.exe C:\Programme\Picasa2\PicasaMediaDetector.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE C:\WINDOWS\System32\WinAvXX.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\MSMSGS.EXE C:\Programme\Yahoo!\Messenger\YahooMessenger.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\VirusSchlacht\ugcw.exe C:\Programme\VirusSchlacht\pgs.exe C:\Programme\Norton Security Scan\Nss.exe C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für HiJackThis.zip\HijackThis.exe R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: CIEIntegrator Object - {7A7F202E-AF91-4889-9DD5-2FE241085CC1} - C:\Programme\VirusSchlacht\Tools\pg.dll O2 - BHO: IEFW Object - {FAAD2038-C371-473D-86F1-5B11D39C3775} - C:\Programme\VirusSchlacht\Tools\IEFWBHO.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S3.tmp" /EF "HKLM" O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S36.tmp" /EF "HKLM" O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe O4 - HKLM\..\Run: [VirusSchlacht] C:\Programme\VirusSchlacht\pgs.exe O4 - HKLM\..\Run: [ugcw] "C:\PROGRA~1\GEMEIN~1\VIRUSS~1\ugcw.exe" -start O4 - HKLM\..\Run: [rtasks] C:\Programme\VirusSchlacht\rtasks.exe O4 - HKLM\..\RunOnce: [freinst] "C:\Programme\VirusSchlacht\pgs.exe" /empty O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: system.exe O4 - Global Startup: autorun.exe O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Speedport W 100 Stick WLAN Manager.lnk = C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1183833785185 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O20 - AppInit_DLLs: C:\WINDOWS\System32\sulimo.dat O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe -- End of file - 5738 bytes wie kann ich im abgesicherten modus die systemwiederherstellung deaktivieren, und wie komm ich dahin? und wie krieg den mi*t dann weg? |
Hallo, hab die beiden links zu spät gesehen, ich find keinen button zum editieren. sorry |
Hi, Du bist u. a. einem Fake-Scanner aufgesessen (popupg.dll - AVSystemCare, http://www.symantec.com/enterprise/secur ity_response/writeup.jsp?docid=2007-0615 09-3222-99 - - rogue "security software" using false positives as goad to purchase. A member of the SmitFraud) (hast Du AVSystemCare was installiert?), dann solltest Du unbedingt folgende Dateien Online Untersuchungen lassen: C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIB VE.EXE C:\WINDOWS\System32\WinAvXX.exe C:\WINDOWS\System32\printer.exe C:\Programme\VirusSchlacht\rtasks.exe C:\Programme\VirusSchlacht\pgs.exe C:\WINDOWS\System32\sulimo.dat C:\WINDOWS\System32\system.exe C:\WINDOWS\System32\autorun.exe virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen VirusTotal - Free Online Virus and Malware Scan Poste alle Ergebnisse mit Filename! Dein Zugriff auf die Registry wurde gesperrt: O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1 Das gibt eine etwas größere Schlacht, ev. neu aufsetzten besser: Hier ein schneller Fix der sicher bösartigen Einträgen: Avenger avenger.zip - The Avenger Input script manually (anhaken) kopiere in: View/edit script Zitat:
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten Folgende Einträge mit HJ-fixen: öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Zitat:
Chris |
Von AVsystem care habe ich nichts installiert, zumindest nicht bewußt. auf die seite virustotal VirusTotal - Free Online Virus and Malware Scan habe ich keinen zugriff, <seite kann nicht angezeigt werden> das die registry gesperrt ist, ist mir auch klar. Avenger, was macht der? du schreibst:<Hier ein schneller Fix der sicher bösartigen Einträgen:>...... und irgenwie gruselt mir vor neustarten, da "es" sich immer wieder neueinträgt.... ich erinnere mit an zeiten, wo man irgendwie im abgesicherten modus das sich wiedereintragen beendete sorry, leider kann ich dir nicht ganz folgen, weil an den entscheidenden stellenin deinem post immer ein zwei worte fehlen bitte nicht böse sein, aber ich kann es nicht nachvollziehen |
Hi, Avenger entfernt sowohl die Dateien die unter Files eingetragen sind (packt sie in eine Backupdateien) und löscht die angegebenen Registryeinträge. (Das sind u. a. die Starteinträge der Trojaner (Run...) als auch der App_initdll-Eintrag [dafür wird ein Dummyeintrag erzeugt]). Um vor den Trojanern gestartet zu werden, trägt sich Avenger in entsprechende Booteinträge ein, d.h. der Rechner wird von Avenger neu gestartet, dann wird die Liste abgearbeitet (bevor die Viren/Trojaner laufen), das Backup erstellt und ein Protokoll erzeugt (Das bitte posten)... Dazu gehst Du einfach wie beschrieben vor (bzw. wie untern avenger.zip - The Avenger) und kopierst den entsprechenden Text rein (ohne Zitat!) HJ-erledigt dann den Rest der Arbeit! Chris |
so jetzt erstmal avenger file: \Registry\Machine\System\CurrentControlSet\Services\rcibycki ******************* Script file located at: \??\C:\rdxwcrgu.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\System32\printer.exe deleted successfully. File C:\WINDOWS\System32\sulimo.dat not found! Deletion of file C:\WINDOWS\System32\sulimo.dat failed! Could not process line: C:\WINDOWS\System32\sulimo.dat Status: 0xc0000034 File C:\WINDOWS\System32\WinAvXX.exe deleted successfully. Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|WinAVX deleted successfully. Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully. Completed script processing. ******************* Finished! Terminate. hj mach ich jetzt allerdings krieg ich für google keinen server mehr, irgendwie wirds immer "enger" ;) |
so nu den HJ, allerdings ist der pc bis jetzt nicht durch das programm neugestartet. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:19:22, on 15.10.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\Programme\Picasa2\PicasaMediaDetector.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\MSMSGS.EXE C:\Programme\Yahoo!\Messenger\YahooMessenger.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\WgaTray.exe C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S3.tmp" /EF "HKLM" O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S36.tmp" /EF "HKLM" O4 - HKLM\..\Run: [ugcw] "C:\PROGRA~1\GEMEIN~1\VIRUSS~1\ugcw.exe" -start O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Speedport W 100 Stick WLAN Manager.lnk = C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://www.update.microsoft.c...?1183833785185 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://h**p://security.symantec.com/.../bin/cabsa.cab O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe -- End of file - 4636 bytes |
hmmmmm, meine systemsteuerung hab ich immer noch nicht zurück, da ich mich wegen einschränkungen, die für diesen computer gelten an den systemadministrator wenden soll der norton hat nach dem neustart außer einem tracer nichts mehr gefunden es macht mich ganz kirre meinem pc nicht trauen zu können, außerdem kann man nicht wirklich arbeiten, wenn man keine passwörter etc. benutzen will, das für den email account mußte ja schon wegen der anmeldung hier sein. hofftentlich kannst du, oder jemand anderes sehen, wie weit es mir gelungen ist..... danke, das es dieses board gibt! |
Hi, tut die Systemwiederherstellung noch? Dann erstelle mal als erstes einen Wiederherstellungspunkt! Was macht der Regedit? Tut der wieder (brauchen wir später wieder)... Dann geht es weiter: Loadingpoints von Programmen. Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip Danach Escan: http://www.trojaner-board.de/42731-escan-anleitung.html Poste alles was nicht Cookie ist (sonst werden wir hier erschlagen)! Das mit der Systemsteuerung machen wir danach... Chris |
:) die systemwiederherstellung tutet noch cookies etc. vor anwendung von avenger gelöscht :) wie kann ich regedit prüfen? |
Hi, start->ausführen->regedit.exe eingeben... Dann sollte er hochfahren... Geht der abgesicherte Modus, und krame mal in der Erinnerung nach, wie der Admin des Rechners heisst samt Passwort... (Beim Einrichten von XP will er mindestens noch einen Admin anlegen lassen, der normalerweise nicht bei normalstart angezeigt wird, nur im abgesicherten Modus). Den brauchen wir um uns die Berechtigungen zurückzuholen, wenn wir den Rest gefunden und gekillt haben... Chris |
der silentrunner lastet meinen cpu zu fast 100% aus der admin heißt admin ;) und das password befindet in meiner handschriftlichen pc-kladde ;) weiß nicht wie lang der runner bei cpu auslastung rennt............... deshalb: bin jetzt für ca. 1 std weg, geh im nachbarort terminal banken ;) ok? |
Hi, ist möglich, er durchforstet die Registry nach Starteinträgen, hoffe er läuft bis zum Ende durch. Escan nicht vergessen; Will sichergehen, dass wir alles erwischen bevor wir versuchen Dir den Zugriff wieder zu ermöglichen (wobei es wäre wahrscheinlich sicherer den Rechner neu aufzusetzten)... Chris Ps.: Bin nur noch eine halbe Stunde da, dann darf ein andere Übernehmen! Oder morgen weiter machen... |
dann erstmal danke ich kann den pc am wochenende nochmal mit einem 2. pc scannen, aber bis dahin brauch ich ein paar email und online konten, is nix super brisantes. und leider hat das letzte neuaufsetzen 8 wochen gebraucht, war nix mit plug & play.... aber wenns denn sein muß................ nochmal herzlichen dank bis hier her |
so nun erstmal die silentrunner files zu1) "Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat! Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS] "MSMSGS" = ""C:\Programme\Messenger\MSMSGS.EXE" /background" [MS] "Yahoo! Pager" = ""C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet" ["Yahoo! Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "Picasa Media Detector" = "C:\Programme\Picasa2\PicasaMediaDetector.exe" ["Google Inc."] "SDTray" = ""C:\Programme\Spyware Doctor\SDTrayApp.exe"" ["PC Tools"] "Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "EPSON Stylus DX5000 Series (Kopie 1)" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S3.tmp" /EF "HKLM"" ["SEIKO EPSON CORPORATION"] "EPSON Stylus DX5000 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S36.tmp" /EF "HKLM"" ["SEIKO EPSON CORPORATION"] "ugcw" = ""C:\PROGRA~1\GEMEIN~1\VIRUSS~1\ugcw.exe" -start" [file not found] zu2) "Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat! Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS] "MSMSGS" = ""C:\Programme\Messenger\MSMSGS.EXE" /background" [MS] "Yahoo! Pager" = ""C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet" ["Yahoo! Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "Picasa Media Detector" = "C:\Programme\Picasa2\PicasaMediaDetector.exe" ["Google Inc."] "SDTray" = ""C:\Programme\Spyware Doctor\SDTrayApp.exe"" ["PC Tools"] "Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "EPSON Stylus DX5000 Series (Kopie 1)" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S3.tmp" /EF "HKLM"" ["SEIKO EPSON CORPORATION"] "EPSON Stylus DX5000 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S36.tmp" /EF "HKLM"" ["SEIKO EPSON CORPORATION"] "ugcw" = ""C:\PROGRA~1\GEMEIN~1\VIRUSS~1\ugcw.exe" -start" [file not found] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {02478D38-C3F9-4efb-9B51-7695ECA05670}\(Default) = (no title provided) -> {HKLM...CLSID} = "&Yahoo! Toolbar Helper" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{5464D816-CF16-4784-B9F3-75C0DB52B499}" = "Yahoo! Mail" -> {HKLM...CLSID} = "YMailShellExt Class" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\ "AppInit_DLLs" = (value not set) HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ Yahoo! Mail\(Default) = "{5464D816-CF16-4784-B9F3-75C0DB52B499}" -> {HKLM...CLSID} = "YMailShellExt Class" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoControlPanel" = (REG_DWORD) hex:0x00000001 {unrecognized setting} "NoWindowsUpdate" = (REG_DWORD) hex:0x00000001 {User Configuration|Administrative Templates|Start Menu and Taskbar| Remove links and access to Windows Update} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} "DisableTaskMgr" = (REG_DWORD) hex:0x00000001 {unrecognized setting} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "Nicole" & "All Users" startup folders: -------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Erinnerungen für Microsoft Works-Kalender" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe" ["Microsoft® Corporation"] "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS] "Speedport W 100 Stick WLAN Manager" -> shortcut to: "C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe" ["TECOM"] Enabled Scheduled Tasks: ------------------------ "Norton Security Scan" -> launches: "C:\Programme\Norton Security Scan\Nss.exe /scan-full /scheduled" ["Symantec Corporation"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}" {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\MSMSGS.EXE" [MS] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Missing lines (compared with English-language version): [Strings]: 1 line HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ <<H>> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "*Q" (unwritable string) -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] HOSTS file ---------- C:\WINDOWS\System32\drivers\etc\HOSTS maps: 102 domain names to IP addresses, 102 of the IP addresses are *not* localhost! Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Spyware Doctor Auxiliary Service, sdAuxService, "C:\Programme\Spyware Doctor\svcntaux.exe" ["PC Tools"] Spyware Doctor Service, sdCoreService, "C:\Programme\Spyware Doctor\swdsvc.exe" ["PC Tools"] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ EPSON Stylus DX5000 Series 32MonitorBE\Driver = "E_FLBBVE.DLL" ["SEIKO EPSON CORPORATION"] ---------- (launch time: 2007-10-15 15:50:05) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 2896 seconds, including 7 seconds for message boxes) |
ich kann machen was ich will ich komme nicht in den abgesicherten modus F8, F5, oder im taskmanger systemprozesse beenden, kein abgesicherter modus hilfe!!! |
Abgesicherter Modus, wenn F8 nicht funktioniert: Start - Ausführen - msconfig - BOOT.INI - Hacken vor "/SAFEBOOT" Nach dieser Eintragung startet der PC im abgesicherten Modus, bis der Hacken wieder entfernt wird. |
der escan ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: MINIMAL eScan Version: 9.4.7 Sprache: German Virus-Datenbank Datum: 10/15/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\WINDOWS\xlavra3.exe infiziert von "Trojan-Downloader.Win32.Agent.eao" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\drivers\etc\hosts infiziert von "Trojan.Win32.Qhost.mg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\xlavra3.exe infiziert von "Trojan-Downloader.Win32.Agent.eao" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\WINDOWS\System32\printer.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\System32\WinAvXX.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\avenger\backup.zip/avenger/printer.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Nicole\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Nicole\Eigene Dateien\jawaline\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0062835.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0062836.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0062837.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0062843.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0063854.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0063867.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0063868.dll markiert als "not-virus:Hoax.Win32.Renos.lq". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065856.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065857.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065862.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065863.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065867.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065988.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065990.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0065991.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{C58A9770-ACF2-4B86-8EC3-F8B0009D1AFF}\RP224\A0066000.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\printer.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\WinAvXX.exe markiert als "not-virus:Hoax.Win32.Fera.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\System32\process.exe Offending file found: C:\WINDOWS\System32\swreg.exe Offending file found: C:\WINDOWS\System32\swsc.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Executable Command Found in D\Shell\AutoRun\command: D:\AUTORUN\AUTORUN.EXE ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ad.doubleclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ad.fastclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ads.fastclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ar.atwola.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 atdmt.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.ch C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.ru C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 awaps.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 banner.fastclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 banners.fastclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ca.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 click.atdmt.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 clicks.atdmt.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 customer.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 dispatch.mcafee.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 download.mcafee.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 download.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us1.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us2.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us3.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads1.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads2.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads3.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads4.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 engine.awaps.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 f-secure.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 fastclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.avp.ch C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads1.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads2.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads3.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.f-secure.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.kasperskylab.ru C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.sophos.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 go.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ids.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 kaspersky.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 liveupdate.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 liveupdate.symantecliveupdate.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 mast.mcafee.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 mcafee.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 media.fastclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 msdn.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 my-etrust.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 nai.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 networkassociates.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 norton.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 office.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 pandasoftware.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 phx.corporate-ir.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 rads.mcafee.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 secure.nai.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 securityresponse.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 service1.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 sophos.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 spd.atdmt.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 support.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 trendmicro.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 update.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates1.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates2.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates3.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates4.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates5.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 us.mcafee.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 vil.nai.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 viruslist.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 viruslist.ru C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 virusscan.jotti.org C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 virustotal.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 windowsupdate.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.ch C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.ru C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.awaps.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.ca.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.f-secure.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.fastclick.net C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.grisoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky-labs.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky.ru C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.mcafee.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.microsoft.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.my-etrust.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.nai.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.networkassociates.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.pandasoftware.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.sophos.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.symantec.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.trendmicro.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.viruslist.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.viruslist.ru C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.virustotal.com C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www3.ca.com ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 93024 Gefundene Viren: 30 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 10 Dauer des Scans bisher: 01:49:19 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 22:58:28,76 Batchende: 22:58:35,75 |
Hi, wir operieren jetzt am offenen Herz, daher auf eigenes Risiko! SafeMode: Entweder wie vorgeschlagen oder wie folgt reparieren: Downloade SafeMode Repair.zip http://www.hijackthis-forum.de/attachment.php?attachmentid=2272&d=1187631899 entpacke es auf Deinen Desktop, mach einen Doppelklick auf die neu entstandene RegDatei, um sie laufen zu lassen Klicke auf 'ok' > starte deinen Rechner in den normalen Modus auf. Avenger http://filepony.de/download-the_avenger/ Input script manually (anhaken) kopiere in: View/edit script Zitat:
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten! (Wenn das nicht geht, müssen wir die Killbox nehmen!) HostFile gerade biegen: (Er leitet alle Anfragen an Antivirus-Internetseiten einschließlich virustotal etc. um)! Wenn das Internet nicht mehr funktioniert, musst Du Deinen Provider per Hand eventuelle einrichten, sichere daher das HostFile komplett (zu finden unter:C:\WINDOWS\system32\drivers\etc\hosts) vielleicht kann ich daraus die richtigen Einstellungen extrahieren) Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. Neu booten und neuer Escan sowie HJ-Log posten; Zusaetzlich bitte noch Cureit nutzen Anleitung: Anleitung: DrWeb - CureIt - Anleitung Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de Wenn nichts mehr gefunden wurde ausser in den _restore-Verzeichnissen: Systemwiederherstellung löschen http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html Wenn der Rechner einwandfrei läuft alle Systemwiederherstellungspunkte löschen lassen (das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen chris |
danke für die anwort. leider hab ich heute über tag keine zeit für meinen pc. bist du morgen da, oder hilft mir jemand anders weiter? danke |
Keiner merkt es:teufel1: Seht ihr das hier nicht Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:52:08, on 14.10.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Sp1 nicht geupdatetes System:o Erstmal das System auf den neuesten Stand bringen :dummguck: |
@Trojanerade Jo, nutz nur im Augenblick nichts... Falls alles wieder läuft oder der Rechner neu aufgesetzt werden muß, dann kann man Sp2, IE7, Firefox, Java etc. aufspielen... Chris |
eine frage, ich weiß das "es" noch auf dem pc ist, aber kann man irgendwie festellen, ob der keylogger noch aktiv istß |
Hmm, schwierig, wenn Rootkits verwendet werden dann ist es fast unmöglich festzustellen ob sie laufen. TCPView von Sysinternals listet alle Verbindungen eines Rechners auf (http://www.pcfreunde.de/download/detail-5201/tcpview.html) ... Oder Security-Taksmanager verwenden... Gruß, Chris |
steh ein wenig auf dem schlauch, sorry die beiden eingefügten absätze brauch nich nochmal für nicht eingeweihte.... sorry für die mehrarbeit ***************** HostFile gerade biegen: (Er leitet alle Anfragen an Antivirus-Internetseiten einschließlich virustotal etc. um)! Wenn das Internet nicht mehr funktioniert, musst Du Deinen Provider per Hand eventuelle einrichten, sichere daher das HostFile komplett (zu finden unter:C:\WINDOWS\system32\drivers\etc\hosts) vielleicht kann ich daraus die richtigen Einstellungen extrahieren) Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. ********** Wenn nichts mehr gefunden wurde ausser in den _restore-Verzeichnissen: Systemwiederherstellung löschen http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html Wenn der Rechner einwandfrei läuft alle Systemwiederherstellungspunkte löschen lassen (das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: *********** |
Hi, der Trojaner hat Deine Hosts-Datei manipuliert: ... C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 viruslist.ru C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 virusscan.jotti.org C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 virustotal.com ... Die Datei gibt die Zuordnung von IP-Adressen zu Hostnamen an. Wenn Du nun versuchst z. B. (wie schon probiert) auf VirusTotal - Free Online Virus and Malware Scan zu gehen, dann hat er als IP Deine eigene angegeben, d.h. diese Abfrage kommt so zusagen nie im Internet an, verlässt nie Deinen Rechner. Und das hat er für eine ganze Reihe von Webadressen gemacht... Das Programm was Du runterladen & ausführen sollst, versucht den Originalzustand wieder herzustellen (in dem es eine Sicherung einspielt). Das sollte eigentlich funktionieren. Damit hast Du wieder den kompletten Zugriff auf das Internet... Windows legt Sicherheitskopien über die Systemwiederherstellung von allen (wichtigen) Treibern etc. an (automatisch). Wenn sich nun ein Trojaner/Virus als Treiber registriert, dann wird er mitgesichert. Falls Du gezwungen bist eine Systemwiederherstellung vorzunehmen ("Letzte bekannte funktionierende Version"), dann ist er automatisch wieder da. Laut escann ist genau das passiert, er ist bereits in der Systemwiederherstellung verankert (erkennbar an dem Pfad: "C:\System Volume Information\_restore"). Daher muß die Systemwiederherstellung ausgeschaltet werden (dabei werden alle Backups gelöscht), und nach erfolgreicher Bereinigung wieder eingeschaltet werden. Das birgt ein gewisses Risiko (falls der Rechner in der Zwischenzeit nicht mehr will, lässt sich kein Stand mehr herstellen (wenn der auch wieder den Trojaner hat). Was mir aufgefallen ist, der Trojaner war nach Löschung durch Avenger gleich wieder da... d.h. er kommt entweder gleich wieder über das Internet auf Dein ungepachtes System (SP1 hat soviele Sicherheitslücken, da merkst Du nichts wenn sich einer Zugriff auf Deinen Rechner verschafft), oder es hängt noch was nicht sichtbares im Hintergurnd. Du solltest möglichst Offline Deinen Rechner auf SP2 updaten und eine Firewall (z. B. ZoneAlarm) etc. installieren..., sonst treiben wir das Spiel bis zum Sankt-Nimmerleinstag... chris |
danke, für die erklärung aber ich habe bei den beiden kopieren absetzten die vorgehensweise nicht ganz verstanden |
Hast du die Files ganz am Anfang bei VT hochgeladen? Chris, warum sagst du gleich löschen??? Wir wissen ja nicht was es ist, wenn es (worst-case) Backdoor mit Keylogger usw. ist muss man sich damit nicht weiter rumquälen:headbang: Außerdem ist nur SP1 drauf, da wäre sowieso das ratsamste neu aufzusetzen, weils schon lang nicht mehr aktuell ist. |
so, bitte jetzt nochmal ganz langsam, für verwirrte, gestresste und ohne pc arbeitslose bis zum 2. mal avenger hab ich alles getan über msconfig bin ich im safeboot ich habe norton, cureit, spydoc, dr web, nochmal durchlaufen lassen außer 2-3 tracern wurde nix gefunden. der cureit meldete 2 hacktools, diese befinden sich allerdings in der datei in der ich die hier "verordneten" downloads habe es stimmt, auf die internet seiten, auf denen es virentools gib komme ich nicht. Bemerkung am Rande: kaffeepads24 geht auch nicht, wohl wegen wegen mcaffee :) nun zu sp1 ie6 etc. ich weiß genau auf welcher internetseite ich mir den trojaner eingefangen habe. und noch eine information: morgen oder übermorgen bekomme ich eine norton vollversion auf cd kann mir die noch irgendwie helfen? und noch eine frage wie verändrt es die chancen, wenn man einen 2 pc anschließt und von da scannt? |
Hi, @Sky; Avenger legt eine Sicherheitskopie an, d.h. die Zip-Datei kann immer noch untersucht werden (wenn Myriaah wieder auf die Seite kommt). Das die Hacktools gemeldet werden (dürfte avenger und co sein), ist normal (Verhalten sich ja eigentlich auch so ;o)... Jetzt müssen wir noch Deine Hosts-Datei gerade biegen, daher unbedingt das hierausführen: Hoster.zip von der unten stehenden Adresse downloaden, auspacken und laufen lassen. Die Frage 'Restore Microstoft's Hosts File' mit OK bestätigen und Programm verlassen! http://www.funkytoad.com/download/HostsXpert.zip Die Einträge im hostsfile sollten dann in etwa so aussehen: 192.168.200.3 localhost Wenn Virustotal (http://www.virustotal.com/flash/index_en.html) wieder läuft, dann bitte das File hier checken lassen: C:\avenger\backup.zip Da müsste alles drin sein, was avenger entfernt hat... Chris Chris |
1.strike virenseite geht wieder auf |
der escan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.4.7 Sprache: German Virus-Datenbank Datum: 10/17/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 28060 Gefundene Viren: 0 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 16 Dauer des Scans bisher: 00:04:37 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Aktiviert Überprüfung aller Festplatten :Deaktiviert Batchstart: 20:27:15,71 Batchende: 20:27:29,22 der HJ: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:32:47, on 17.10.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Messenger\MSMSGS.EXE C:\Programme\Yahoo!\Messenger\YahooMessenger.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\WgaTray.exe C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für HiJackThis.zip\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S3.tmp" /EF "HKLM" O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S36.tmp" /EF "HKLM" O4 - HKLM\..\Run: [ugcw] "C:\PROGRA~1\GEMEIN~1\VIRUSS~1\ugcw.exe" -start O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Speedport W 100 Stick WLAN Manager.lnk = C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183833785185 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe -- End of file - 4669 bytes |
Hi, das HJ-Log sieht wieder gut aus...! Zugriff auf Internet geht auch uneingeschränkt? Systemwiederherstellung kannst Du jetzt wie beschrieben bereinigen...! Dr. Web und Co melden nichts mehr? (Du solltest escan ALLE Festplatten untersuchen lassen, einige lagen (wenn ich mich richtig erinnere auf Laufwerk E!). Letztes noch: Silentrunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip Chris |
escan ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.4.7 Sprache: German Virus-Datenbank Datum: 10/18/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 80640 Gefundene Viren: 0 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 39 Dauer des Scans bisher: 02:17:41 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 23:35:45,21 Batchende: 23:36:31,81 |
ein wenig aufgerüstet in der zwischenzeit :) "Silent Runners.vbs", revision 52, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "Yahoo! Pager" = ""C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet" ["Yahoo! Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "SDTray" = ""C:\Programme\Spyware Doctor\SDTrayApp.exe"" ["PC Tools"] "EPSON Stylus DX5000 Series (Kopie 1)" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S3.tmp" /EF "HKLM"" ["SEIKO EPSON CORPORATION"] "EPSON Stylus DX5000 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S36.tmp" /EF "HKLM"" ["SEIKO EPSON CORPORATION"] "ugcw" = ""C:\PROGRA~1\GEMEIN~1\VIRUSS~1\ugcw.exe" -start" [file not found] "T-Online Dialerschutz-Software" = ""C:\Programme\T-Online\Dialerschutz-Software\Defender.exe"" ["T-Systems Enterprise Services GmbH"] "ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"] "osCheck" = ""C:\Programme\Norton Internet Security\osCheck.exe"" ["Symantec Corporation"] "Symantec PIF AlertEng" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"" ["Symantec Corporation"] "MSConfig" = "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {02478D38-C3F9-4efb-9B51-7695ECA05670}\(Default) = (no title provided) -> {HKLM...CLSID} = "&Yahoo! Toolbar Helper" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] {1E8A6170-7264-4D0F-BEAE-D42A53123C75}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll" ["Symantec Corporation"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{5464D816-CF16-4784-B9F3-75C0DB52B499}" = "Yahoo! Mail" -> {HKLM...CLSID} = "YMailShellExt Class" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\ "AppInit_DLLs" = (value not set) HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}" -> {HKLM...CLSID} = "IEContextMenu Class" \InProcServer32\(Default) = "C:\PROGRA~1\NORTON~2\NORTON~1\NavShExt.dll" ["Symantec Corporation"] Yahoo! Mail\(Default) = "{5464D816-CF16-4784-B9F3-75C0DB52B499}" -> {HKLM...CLSID} = "YMailShellExt Class" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}" -> {HKLM...CLSID} = "IEContextMenu Class" \InProcServer32\(Default) = "C:\PROGRA~1\NORTON~2\NORTON~1\NavShExt.dll" ["Symantec Corporation"] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoControlPanel" = (REG_DWORD) hex:0x00000000 {unrecognized setting} "NoWindowsUpdate" = (REG_DWORD) hex:0x00000000 {User Configuration|Administrative Templates|Start Menu and Taskbar| Remove links and access to Windows Update} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} "DisableTaskMgr" = (REG_DWORD) hex:0x00000000 {unrecognized setting} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Nicole\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "Nicole" & "All Users" startup folders: -------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Erinnerungen für Microsoft Works-Kalender" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe" ["Microsoft® Corporation"] "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS] "Speedport W 100 Stick WLAN Manager" -> shortcut to: "C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe" ["TECOM"] Enabled Scheduled Tasks: ------------------------ "Norton Internet Security Online - Systemprüfung ausführen - Nicole" -> launches: "C:\Programme\Norton Internet Security\Norton AntiVirus\Navw32.exe /TASK:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"] "Norton Security Scan" -> launches: "C:\Programme\Norton Security Scan\Nss.exe /scan-full /scheduled" ["Symantec Corporation"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] "{90222687-F593-4738-B738-FBEE9C7B26DF}" = "NCO Toolbar" -> {HKLM...CLSID} = "Show Norton Toolbar" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll" ["Symantec Corporation"] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}" {E2E2DD38-D088-4134-82B7-F2BA38496583}\ "MenuText" = "@xpsp3res.dll,-20001" "Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ <<H>> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "*Z" (unwritable string) -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Automatisches LiveUpdate - Scheduler, Automatisches LiveUpdate - Scheduler, ""C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"" ["Symantec Corporation"] COM Host, comHost, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe"" ["Symantec Corporation"] LiveUpdate Notice Service Ex, LiveUpdate Notice Ex, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"] PC Tools Auxiliary Service, sdAuxService, "C:\Programme\Spyware Doctor\svcntaux.exe" ["PC Tools"] PC Tools Security Service, sdCoreService, "C:\Programme\Spyware Doctor\swdsvc.exe" ["PC Tools"] Symantec AppCore Service, SymAppCore, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe"" ["Symantec Corporation"] Symantec Core LC, Symantec Core LC, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe"" ["Symantec Corporation"] Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"] Symantec Lic NetConnect service, CLTNetCnService, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h cltCommon" ["Symantec Corporation"] Symantec Network Proxy, ccProxy, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe"" ["Symantec Corporation"] Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"] T-Online Dialerschutz Dienst, DFSVC, "C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe" ["T-Systems Enterprise Services GmbH"] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ EPSON Stylus DX5000 Series 32MonitorBE\Driver = "E_FLBBVE.DLL" ["SEIKO EPSON CORPORATION"] ---------- (launch time: 2007-10-18 23:46:35) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 67 seconds. ---------- (total run time: 211 seconds) |
und noch ein HJ bitte: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:56:58, on 18.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\alg.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Yahoo!\Messenger\YahooMessenger.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\DOKUME~1\Nicole\LOKALE~1\Temp\Temporäres Verzeichnis 3 für HiJackThis.zip\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S3.tmp" /EF "HKLM" O4 - HKLM\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S36.tmp" /EF "HKLM" O4 - HKLM\..\Run: [ugcw] "C:\PROGRA~1\GEMEIN~1\VIRUSS~1\ugcw.exe" -start O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\Defender.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe" O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Speedport W 100 Stick WLAN Manager.lnk = C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183833785185 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe O23 - Service: T-Online Dialerschutz Dienst (DFSVC) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe -- End of file - 8271 bytes |
achso: die E: ist formatiert, dauerte mir sonst alles zulange war ein zerschossenes windows und ein paar daten drauf, die ich aber schon vor ein paar wochen anders gesichert hatte :heilig: |
Hi, sieht alles gut aus, das hier (EF99BD32-C1FB-11D2-892F-0090271D4F88) ist &Yahoo! Companion und sollte ungefährlich sein... Dein JAVA ist total veraltet (neben SP1!!!), außerdem solltest Du auf Firefox mit SaferFox/NoScript umsteigen.... ;o)... Download jre-6u2-windows-i586-p.exe Scrolle runter nach ---->Java Runtime Environment (JRE) 6u2 The Java SE Runtime Environment (JRE) allows end-users to run Java applications. Klicke auf "Download" Setze ein Haeckchen bei --->"Accept License Agreement". Klicke “Windows Offline Installation, Multi-language” um “jre-6-windows-i586.exe”zum Desktop zu installieren Schliesse alle Programme auch Deinen Webbrowser Über "Start -> Einstellungen -> Systemsteuerung -> Software entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE) Auch auf C:\Programme\Java entfernen! Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus ---> “jre-6u2-windows-i586-p.exe” Java Runtime Environment deinstallieren - 1.5.0, 6.0 So, und zum Schluß wenn alles richtig läuft die gepackten Dateien mit den kleinen Viechern noch löschen: Backups von Avenger&Co (falls vorhanden) löschen: C:\Qoobox - loeschen und Papierkorb leeren C:\avenger\backup.zip - loeschen und Papierkorb leeren C:\VundoFix Backups - loeschen und Papierkorb leeren C:\RVAXO-results.log -->Papierkorb leeren Chris Out |
:eek:sp2 und ie7 is doch im letzten HJlog schon drin:juul: |
Hi, stimmt (übersehen), konzentriere mich auf die Sachen weiter unten :o)... chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board