|
Die eine .dll verarscht uns. Lad dir bitte Killbox und wechsel in den abgesicherten Modus. Dort fixe als erstes folgende Einträge mit HJT: * R3 - URLSearchHook: (no name) - {F4F10C1D-87C7-404A-B4B3-000000000000} - (no file) * * O2 - BHO: (no name) - {76F262CF-0308-0FB4-F7A3-043266F3A47C} - (no file) * * O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) * * O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll * * O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll * * O4 - HKLM\..\Policies\Explorer\Run: [0IP5J3bsBJ] rundll32.exe "C:\WINDOWS\system32\ndaTqsVqrX.dll",DllCleanServe r * * O20 - Winlogon Notify: winowl32 - C:\WINDOWS\ * Anleitung Killbox: Lade dir folgendes Tool herunter -> KILLBOX -Starte dann das Programm -klick auf die Option -> "delete on reboot" -kopiere diesen Text unter -> "Full Path of File to delete" Zitat:
http://scr.softonic.com/s2/46000/46370/0_killbox.gif Dann lässt du SmitfraudFix nochmals laufen. Alles im abgesicherten! Danach mal wieder cCleaner laufen lassen und gucken was passiert. Spybot und AdAware ebenfalls. Erst danach startest du den Rechner neu und machst ein frisches HJT log sowie einen eScan. |
Hijackthis habe ich probiert und die einträge gefixt Killbox war mir schon bekannt. habe DC:\WINDOWS\system32\ndaTqsVqrX.dll und C:\WINDOWS\system32\ndaTqsVqrX.dll probiert, jedoch kam kurz vor dem Neustart ein Fehler. Keine der beiden Varianten konnte er löschen oder finden und auch im System32 folder habe ich die nicht entdeckt. |
Ups. DC: war natürlich mein Fehler! Aber mit " C:\WINDOWS\system32\ndaTqsVqrX.dll " hast du es auch probiert? Dann versuche es mal bitte zusätzlich mit dem Haken gesetzt bei " End Explorer Shell .. " Wenn du den Link in meiner Signatur zum suchen und finden von Dateien beachtest findest du die Datei dann? PS: Poste bitte noch ein neues HJT log. |
Habe alles genauso befolgt aber wieder Erfolglos. Naja, vielleicht nicht ganz, habe unsere Datei gefunden. Allerdings im Avenger Ordner unter Backups. War da im Stapelverzeichnis. Habe die kurzerhand auch mal eliminiert und daraufhin die Datei über die von dir beschriebene custom Suche dann auch nicht mehr gefunden. Auch nach Einstellung, wie es in deinem Linkbeschrieben ist, konnte ich die Datei jedoch nicht im system32 Ordner finden und das Programm auch nicht, trotz aktiviertem shell. Wieder Fehler 1 Sekunde vor Neustart. "PendingFileRenameOperationsRegistry Data has been removed by External process" steht dann da immer hier mein neues Hijkt log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:00:57, on 28.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\RivaTuner v2.06\RivaTuner.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wscntfy.exe C:\Programs\HiJackThis202.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /T O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /S O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe -- End of file - 3755 bytes |
Also dein Hijack ist sauber. Beobachte dein System und berichte was sich so tut.. |
Alslo irgendwie findet Escan immernoch Trojan-downloader.bat.ftp und smitfraud.browser.hijacker Vielleicht nur ein fehlalarm von Escan? hier mein aktuelles hijk log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:07:02, on 28.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\RivaTuner v2.06\RivaTuner.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\Antispyware\HiJackThis202.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /T O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /S O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe -- End of file - 3167 bytes |
Hallo. Ich hoffe ich störe hier nicht eine Diskussion aber mein Problem schlägt genau in die gleiche Bresche. Ich habe den Vundo-Trojaner bzw. einen TR/Drop.Agent.dgo.8 (oder andere Nummer). Meine Problemdatei ist laut vundovix.exe folgende: C:\Windows\System32\ssqrq.dll Zwischenzeitlich hatte ich noch im gleichen Ordner die iifddbx.dll oder qrqss.ini oder qrqss.ini2 oder mljdg.dll Mit den AntiVirus-Programmen hab ich den Vundo erst gar nicht entdeckt (habe den "Jotti-Malware"Scan gemacht. Der erkannte die mljdg.dll als Vundo infiziert - AntiVir, Avast, Bitdefender etc. finden hingegen nichts. Auch Adware 2007 und Spybot nicht. ) Das Problem ist, dass ich die Datei ssqrq.dll weder mit Killbox noch mit dem Vundofix (auch nicht wenn Systemwiederherstellung deaktiviert ist) wegbekomme. Einmal hab ich sogar gesehen, wie sie sich selbst wieder "erschuf". Auch im abgesicherten Modus komme ich nicht weiter. Und dieser Trojaner zerstört auch noch meine ZoneLabs Firewall und Antivir etc. Komme hier echt nicht mehr weiter. Ach und Antivir findet im ssqrq.dll nichts aber manchmal in den Temp dateien folgenden Trojaner: TR/Drop.Agent.dgo.8 (wie schon oben gesagt) Hier mein HJT File Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:14:12, on 28.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Anwendungen\Lavasoft\Ad-aware 2007\aawservice.exe C:\Anwendungen\AntiVir PersonalEdition Classic\sched.exe C:\Anwendungen\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\cisvc.exe C:\Anwedungen\ProcessGuard\dcsuserprot.exe C:\Programme\FolderSize\FolderSizeSvc.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\ANWEND~1\TRISNA~1\SSI\SYSENF~1.EXE C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\WINDOWS\system32\taskmgr.exe C:\Anwendungen\Zone Labs\ZoneAlarm\zlclient.exe C:\Anwendungen\Zone Labs\ZoneAlarm\zlclient .exe C:\WINDOWS\system32\SearchProtocolHost.exe C:\Anwendungen\T-Com\OnlineControl\ocontrol.exe C:\Anwendungen\ATITool\ATITool.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe C:\WINDOWS\system32\rundll32.exe D:\Eigene Dateien\DOWNLOADS\KillBox.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\ctfmon.exe C:\Anwendungen\Mozilla Firefox\firefox.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Anwendungen\Bitdefender\vsserv.exe C:\WINDOWS\system32\cidaemon.exe C:\Anwendungen\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1und1.de/Herzlich_Willkommen/b1/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Programme\Mplayer\Assets\Blank.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 80.130.10.167:2 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Anwendungen\ICQToolbar\toolbaru.dll F3 - REG:win.ini: load=C:\WINDOWS\system32\ssqrq.exe O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Anwendungen\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [BDMCon] "C:\Anwendungen\Bitdefender\bdmcon.exe" /reg O4 - HKLM\..\Run: [BDAgent] "C:\Anwendungen\Bitdefender\bdagent.exe" O4 - HKLM\..\Run: [avgnt] "C:\Anwendungen\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Anwendungen\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM') O4 - S-1-5-18 Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'SYSTEM') O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user') O4 - .DEFAULT Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (User 'Default user') O4 - Startup: ATITool.lnk = C:\Anwendungen\ATITool\ATITool.exe O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe O4 - Global Startup: OnlineControl.lnk = C:\Anwendungen\T-Com\OnlineControl\ocontrol.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Anwendungen\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Download with GetRight - C:\Anwendungen\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Anwendungen\GetRight\GRbrowse.htm O9 - Extra button: (no name) - c95fe080-8f5d-112d-a20b-00aa003c157a - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Anwendungen\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Anwendungen\ICQLite\ICQLite.exe O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/ O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} - O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093022517812 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1175024247125 O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{24D8F93F-2CDE-4107-BDF0-A49EAB65F44E}: NameServer = 85.255.115.116,85.255.112.169 O17 - HKLM\System\CCS\Services\Tcpip\..\{89CE64EC-0F2C-4FDB-B122-94C1672DF215}: NameServer = 85.255.115.116,85.255.112.169 O17 - HKLM\System\CCS\Services\Tcpip\..\{BED2C924-4804-4E0E-86D8-1F7A350295D6}: NameServer = 85.255.115.116,85.255.112.169 O17 - HKLM\System\CCS\Services\Tcpip\..\{D2C97039-7BB7-44B9-B437-7EAE4D5C9793}: NameServer = 85.255.115.116,85.255.112.169 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.169 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.116 85.255.112.169 O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Anwendungen\Lavasoft\Ad-aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Anwendungen\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Anwendungen\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: DiamondCS Process Guard Service v3.000 (DCSPGSRV) - DiamondCS - C:\Anwedungen\ProcessGuard\dcsuserprot.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - DiamondCS - (no file) O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktopManager.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: SysEnforce - Unknown owner - C:\ANWEND~1\TRISNA~1\SSI\SYSENF~1.EXE O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Anwendungen\Bitdefender\vsserv.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe -- End of file - 9884 bytes |
Sei da aufjednefall vorsichtig. Ich hatte das Gefühl, dass er sich meines Antivirs bemächtigt hat. Daraufhin hab ich es einfach deaktiviert. Nutze Escan, wie ich das momentan mache und lies dir den thread schonmal durch, könnt ne lange session werden, auch für dich. Vundo oder Zlob machen sowieso was sie wollen, da hilft nur Pistole auf die Brust. |
Na dann danke schon mal für die schnelle Antwort. :) Der eScan wirft ja unglaublich viel aus! (Dass ich mal Kazaa aufm PC hatte, wusste ich gar nicht mehr...) Hier eine Übersicht (das Protokoll ist ca 950.000 Zeichen lang...) Fri Dec 28 21:39:58 2007 => Gescannte Dateien: 44135 Fri Dec 28 21:39:58 2007 => Gefundene Viren: 57 Fri Dec 28 21:39:58 2007 => Anzahl der desinfizierten Dateien: 0 Fri Dec 28 21:39:58 2007 => Umbenannte Dateien: 0 Fri Dec 28 21:39:58 2007 => Anzahl der gelöschten Dateien: 0 Fri Dec 28 21:39:58 2007 => Anzahl Fehler: 267 Fri Dec 28 21:39:58 2007 => Dauer des Scans bisher: 00:09:30 Fri Dec 28 21:39:58 2007 => Virus-Datenbank Datum: 12/27/2007 Fri Dec 28 21:39:58 2007 => Virus-Datenbank Zähler: 495625 Fri Dec 28 21:39:58 2007 => Scan vollständig. Lohnt es sich den eScan zu kaufen, denn die Freeware Version ändert ja nichts an den Problemen, sondern erkennt sie nur? |
Schau dir mal die Escan Anleitung hier aus dem Forum an. Da kannst du eine Datei runterladen, die das riesige log übersichtlich zusammenfasst, völlig automatisch. Einfach doppelklick drauf und dann postest du das hier im Thread. Weil mit dem bischen kann man denke ich nicht soviel anfangen. Selbst wenn du die Vollversion von Escan hättest, denke ich nicht, dass es Vundo entfernen kann. Nicht mal mit killbox geht das. Da muss man schon echt härtere Geschütze fahren, da die betreffende Datei abgeriegelt wie Fort Knox ist. Ich kanns halt auch nicht besser beschreiben aber bald dürfte Hilfe eintreffen :) Also gehen wir mal davon aus, dass du 40 potentielle Viren hast, ist das schon enorm. Der Rest ist halt falscher Alarm. Aber sieht ganz so aus als hättest du dir ein dickes Virenpaket eingefangen mit trojan downloader, wohlmöglich zlob. Das beste ist, wenn du die Verbindung erstmal trennst und von Zeit zu zeit reinschaust und dann einfach nur den Anweisungen folgen. Jenachdem wie lange das schon so läuft könnnen sich backdoortrojaner eingeschlichen haben, die mit deinem PC unfug treiben. Lass Antivir soweit erstmal durchlaufen und entferne das gröbste und trenne die Internetverbindung, damit nichts weiter aus dem Netz geladen werden kann. |
Zitat:
wir sind erst am Anfang.. Zitat:
Wir müssen dein System auf Dateien und Prozesse scannen, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en): alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen) nichts am Rechner getan werden Lade dir das Programm GMER (http://www.gmer.net/gmer.zip) von www.gmer.net runter. -Entpacke es wenn du kein Zip-Programm hast, kannst du dir eine Testversion kostenlos runterladen: Winzip (WinZip® - The Zip File Utility for Windows - Zip/Unzip, Encrypt/Decrypt) -Starte es mit einem doppelklick auf die gmer.exe -Sollte eine Fehlermeldung auftauchen einfach nein, oder no wählen. -Wähle jetzt den Reiter Rootkit aus. http://image.hijackthis.eu/gmer/reiter5ji.png -1.Klicke nun rechts unten auf Scann -2.Nach dem scann klicke rechts unten auf Copy http://image.hijackthis.eu/gmer/scann5ft.png Vor dem nächsten Schritt bitte die Vierenscanner wieder aktivieren! -Öffne nun deinen Thread im HijackThis-Forum -Klicke mit rechts in die Textbox und wähle Einfügen. Nun ist das Ergebnis von Gmer in deinen Thread eingefügt. |
Werde ich tun. Aber kann das Escan log gerade nicht komprimieren, weil er irgendein Sprachproblem hat, bei dem Versuch die bat zutzen. Bekomme das jetzt auch nicht gefixt. Muss ich die große hochladen. |
So habs jetzt mal hochgeladen. Hoffe damit lässt sich was Anfangen. Wie gesagt, kann es grad nicht komprimieren, tut mich leid. RapidShare Webhosting + Webspace |
Führe den eScan bitte nocheinmal durch und wähle Deutsch als Sprache. Dann sollte es klappen. Und führe bitte den gmer scan durch! |
Also nachdem bei mir vor ca. 1 Woche gar nichts mehr (z.B. Windows nur noch im abgesicherten Modus...) klappte, musste ich formatieren. Nun klappts natürlich wieder. Trotzdem vielen Dank für Eure Hilfe!!! Tolles Forum hier!!! :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board