Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Symantec AntiVirus meldet: Adware.VirtuMonde (https://www.trojaner-board.de/46901-symantec-antivirus-meldet-adware-virtumonde.html)

mattis 12.12.2007 15:57
Vielen Dank für Deine Hilfe, 11Boy11!

Ich habe richtig verstanden!? Ich starte die KILLBOX aus dem abgesicherten Modus heraus?

11Boy11 12.12.2007 15:58
Zitat:
Zitat von mattis (Beitrag 309578)
Ich habe richtig verstanden!? Ich starte die KILLBOX aus dem abgesicherten Modus heraus?
Ja, richtig.

----------------------------------

Danach weiterhin im abgesicherten Modus:

Cureit reinigen lassen:

mattis 12.12.2007 16:00
Ich werde Deinen Anweisung folgen und mich anschließend melden.
Vielen Dank!

mattis 12.12.2007 16:20
Leider hat auch nichts gebracht, da die DLL im scheinbar Gebrauch ist.
KILLBOX meldete folgenden Fehler in abgesicherten Modus:

PendingFileRenameOperations Registry Date has been Removed by External Process!

Vielleicht habt Ihr weitere Vorschläge?

11Boy11 12.12.2007 16:22
Hi,

hast du Cureit durchlaufen lassen?

mattis 12.12.2007 16:24
Nein, kenne ich auch noch nicht!

mattis 12.12.2007 16:27
So!
Habe cureit runter gelanden.
So ich es auch im abgesicherten Modus laufen lassen?

11Boy11 12.12.2007 16:30
Zitat:
....KILLBOX meldete folgenden Fehler in abgesicherten Modus:

PendingFileRenameOperations Registry Date has been Removed by External Process!
Ich glaube, der eintrag der Killbox wurde vom Virus entfernt, bevor er überhaupt ausgeführt werden konnte!

_____________
Zitat:
... im abgesichertden Modus?
Ja!

mattis 12.12.2007 16:37
Ich denke, daß KillBox auf die urqqrol.dll deshalb nicht zugegriffen werden kann, da Sie von lt. SpyBot das Modul: urqqrol.dll von winlogon benutz wird.
Und das auch wenn ich im abgesicherten Modus arbeite.

mattis 12.12.2007 16:39
SO ich werde jetzt kurzCureIt im abgesicherten Modus ausführen und mich anschließend wieder melden.
Aber vielleicht vorher noch ne Frage:
Muß ich bei CureIt irgend etwas beachten?

11Boy11 12.12.2007 16:45
Hi,

am besten ist, wenn du das Programm startest, und dann auf das Stop zeichen drückst (Geht erst, wenn es grün ist)
Dann änderst du links "Schnelle überprüfung" auf "Komplette Prüfung"
Dann wieder auf das Start zeichen.

Wenn Cureit beendet ist, Poste den Report!
-> Report zu finden unter %userprofile%\doctorweb\cureit.log

mattis 12.12.2007 19:13
Scheint mit CureIt leider auch nichts gebracht zu haben.
Ich bekomme immer noch den von Symantec AntiVirus.
Unter C:\WINDOWS\system32\ finde ich auch noch die dll (urqqrol.dll) die sich auch jetzt nicht löschen lässt.

Hab Ihr noch weitere Ideen?

11Boy11 12.12.2007 19:25
Hi,

poste doch nochmal einen aktuellen HijackThis Log.

mattis 12.12.2007 19:37
Logfile of HijackThis v1.99.1
Scan saved at 19:35:35, on 12.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\acs.exe
C:\maint\sid\disth\disth.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec\Symantec_Antivirus_10_DE\DefWatch.exe
C:\WINDOWS\system32\PMService.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\lotus\notes\ntmulti.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec\Symantec_Antivirus_10_DE\Rtvscan.exe
C:\Program Files\Börse 2007\bin\watchdog.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\CSCRIPT.EXE
C:\WINDOWS\system32\cscript.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\Symantec\SYMANT~1\VPTray.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\PROGRA~1\CYBERL~1\POWERD~1\DVDLAU~1.EXE
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Apoint\HidFind.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Symantec\Symantec_Antivirus_10_DE\DoScan.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Program Files\Level One\Firmware\WLANPRO.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\HiJackThis\HijackThis.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ao-z.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ACSrun] "%SystemRoot%\system32\usrlogon.bat"
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [EPA_EZ_GPO_Tool] C:\WINDOWS\system32\EZ_GPO_Tool.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\Symantec\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [DVDLauncher] "C:\PROGRA~1\CYBERL~1\POWERD~1\DVDLAU~1.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: AS Client-Manager.lnk = C:\VUS2001\System\ZACLIENT.EXE
O4 - Global Startup: 108Mbps Wireless LAN Adapter Configuration Utility.lnk = C:\Program Files\Level One\Firmware\WLANPRO.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft\Office_XP_XL\Office10\OSA.EXE
O4 - Global Startup: Reg.lnk = ?
O4 - Global Startup: Siegfried Weckmann Hardcopy 14.5 XL.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Documents and Settings\anwender41\My Documents\Download (C)\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Documents and Settings\anwender41\My Documents\Download (C)\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Documents and Settings\anwender41\My Documents\Download (C)\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Documents and Settings\anwender41\My Documents\Download (C)\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O15 - Trusted Zone: *.ao-dh.de
O15 - Trusted Zone: *.ao-z.de
O15 - Trusted Zone: *.aodh.de
O15 - Trusted Zone: *.aoz.de
O15 - Trusted Zone: *.bonnfinanz-vertrieb.de
O15 - Trusted Zone: *.bvk.de
O15 - Trusted Zone: *.dws-direkt.deutsche-bank.de
O15 - Trusted Zone: *.deutsche-versicherungsboerse.de
O15 - Trusted Zone: *.dkv.com
O15 - Trusted Zone: *.dkv.de
O15 - Trusted Zone: *.info.dws.com
O15 - Trusted Zone: *.info.dws.de
O15 - Trusted Zone: *.dws.de
O15 - Trusted Zone: *.dwsgo.de
O15 - Trusted Zone: *.gdvonline.de
O15 - Trusted Zone: *.gmx.net
O15 - Trusted Zone: *.heeseshop.de
O15 - Trusted Zone: *.herold-vertrieb.de
O15 - Trusted Zone: *.herold.de
O15 - Trusted Zone: *.banking.ing-diba.de
O15 - Trusted Zone: *.IVZDH.de
O15 - Trusted Zone: *.maklerweb.de
O15 - Trusted Zone: *.orgam.de
O15 - Trusted Zone: *.vantage-kicks-ass.de
O15 - Trusted Zone: *.vantage-kicks-ass.net
O15 - Trusted Zone: *.vantagefunclub.ru
O15 - Trusted Zone: *.volkswagenbank.de
O15 - Trusted Zone: *.vtr1000.de
O15 - Trusted Zone: *.werder.de
O15 - Trusted Zone: *.zuerich.com
O15 - Trusted Zone: *.zuerich.de
O15 - Trusted Zone: *.zurich.com
O15 - Trusted Zone: *.zurich.de
O15 - Trusted Zone: *.ao-dh.de (HKLM)
O15 - Trusted Zone: *.ao-z.de (HKLM)
O15 - Trusted Zone: *.aodh.de (HKLM)
O15 - Trusted Zone: *.aoz.de (HKLM)
O15 - Trusted Zone: *.bonnfinanz-vertrieb.de (HKLM)
O15 - Trusted Zone: *.dkv.com (HKLM)
O15 - Trusted Zone: *.dkv.de (HKLM)
O15 - Trusted Zone: *.gdvonline.de (HKLM)
O15 - Trusted Zone: *.herold-vertrieb.de (HKLM)
O15 - Trusted Zone: *.herold.de (HKLM)
O15 - Trusted Zone: *.maklerweb.de (HKLM)
O15 - Trusted Zone: *.orgam.de (HKLM)
O15 - Trusted Zone: *.zuerich.com (HKLM)
O15 - Trusted Zone: *.zuerich.de (HKLM)
O15 - Trusted Zone: *.zurich.com (HKLM)
O15 - Trusted Zone: *.zurich.de (HKLM)
O15 - Trusted IP range: http://127.0.0.1
O15 - Trusted IP range: http://127.0.0.1 (HKLM)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4BDA7D2-1C8E-4B12-BEB7-9791C0689685}: Domain = oop.zfs
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = oop.zfs
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = oop.zfs
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = oop.zfs
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: BBDistHandler - Unknown owner - %SystemDrive%\maint\sid\disth\disth.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec\Symantec_Antivirus_10_DE\DefWatch.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - Unknown owner - C:\WINDOWS\system32\DWRCS.exe (file missing)
O23 - Service: Energy Star(TM) EZ GPO Power Management Configuration Tool (EPA_GPO_PMService) - TerraNovum - C:\WINDOWS\system32\PMService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Lotus Notes - Gemeinsame Anmeldung (Lotus Notes Single Logon) - IBM Corp - C:\WINDOWS\system32\nslsvice.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Program Files\lotus\notes\ntmulti.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec\Symantec_Antivirus_10_DE\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec\Symantec_Antivirus_10_DE\Rtvscan.exe
O23 - Service: WisoBoerseWatchDog - market maker Software AG - C:\Program Files\Börse 2007\bin\watchdog.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

11Boy11 12.12.2007 19:43
Abend,

öffne das HijackThis klicke den Button "scan", und mache vor diese Einträge ein häckchen:

Zitat:
O23 - Service: DameWare Mini Remote Control (DWMRCS) - Unknown owner - C:\WINDOWS\system32\DWRCS.exe (file missing)

O23 - Service: BBDistHandler - Unknown owner - %SystemDrive%\maint\sid\disth\disth.exe (file missing)

Dann Button "Fix checked" klicken, anschließend PC neustarten


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:03 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131