|
Probleme wg. worm.win32netsky Hallo erst mal, ich hoffe, Ihr koennt mir helfen. Nach "System-Alert", dass sich "worm.win32netsky" auf dem Rechner befindet, wurde mit Spybot, Antivir und Adaware das System zunaechst einmal bereinigt. Zuvor wurde staendig in kleinen Fenstern nach Downloads von Antispyware gefragt, die automatisch den Internet-Explorer oeffneten. Ebenso konnte auf den Taskmanager nicht zugegriffen werden, obwohl dieser Computer nur einen User (Admin) hat. Nach loeschen der gefundenen Schaedlinge ist der Taskmanager wieder zu oeffnen und die Warnmeldungen und das automatische Oeffnen von Internet-Seiten mit Antispyware hat sich auch eingestellt, allerdings gibt es jetzt kein Desktop-Hintergrundbild mehr und das Fenster der "Eigenschaften von Anzeige" laesst sich nicht ueber Kontextmenue auf Desktop oeffnen. Ueber die Systemsteuerung kann ich die Eigenschaften zwar aufrufen und dort ist auch alles so, wie es vom Eigentuemer des PC mal eingestellt war, aber der Desktop-Hintergrund ist kein Bild mehr, so wie dort eingestellt, sondern weiss! Habe schon mal Smitfraudfix, Hijackthis und Silentrunner laufen lassen und habe die rapports angehaengt. Ich kenne mich zwar ein wenig aus, allerdings doch weniger mit Viren und Wuermern.... Bitte um Hilfe, was man nun tun kann! |
Hallo Tangomaus! :) DNS-Einträge entfernen Achtung: Solltest du Probleme mit deiner Internet Verbindung bekommen: Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) > wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden) -Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop. -installiere das Tool und achte darauf das "Run fixit" aktiviert ist. -klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!) -achte nun auf die Hinweise die gegeben werden Fixe nun mit HijackThis folgende Einträge im Logfile: Zitat:
MWAV (eScan) - Free Antivirus -Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. Gruß :daumenhoc Sunny |
Hallo Sunny, erst einmal vielen Dank fuer Deine Hilfe soweit. Habe so ausgefuehrt wie beschrieben, allerdings gibt es ein Problem mit MWAV. Es erscheint irgendwann nach ueber einer Stunde scan die Nachricht: "Das Zeitlimit des angegebenen E/A-Vorgangs auf \Device\Harddisk1\DR3 wurde erreicht, bevor der E/A-Vorgang abgeschlossen wurde. Die ersten Male habe ich dort auf "weiter" geklickt, aber da die Meldung immer wieder erschien, habe ich dann noch "wiederholen" versucht, aber auch da immer wieder dieselbe Meldung. Ausserdem lassen sich die "Energieoptionen" in der Systemsteuerung nicht oeffnen. Mir blieb dann nix anderes als "abbrechen". Trotzdem im Anhang die "find.bat". Ich hoffe Du weisst noch weiter!??? |
Das mit der Fehlermeldung ist nicht schlimm, versuch nun bitte folgende Programme zu abzuarbeiten: ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! Erstellung eines Hijacklog -Hier gibt es das Tool -> HijackThis -Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.exe -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein) |
Okay, diesmal liefen beide progs problemlos durch. Hier also die combofix-log: ComboFix 08-01-07.5 - user 2008-01-08 18:53:54.1 - FAT32x86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.675 [GMT 0:00] ausgeführt von:: C:\Dokumente und Einstellungen\user\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\user\Favoriten\Error Cleaner.url C:\Dokumente und Einstellungen\user\Favoriten\Privacy Protector.url C:\Dokumente und Einstellungen\user\Favoriten\Spyware&Malware Protection.url C:\WINXP\ampkfst.dll C:\WINXP\foxflpd.exe C:\WINXP\regedit.com C:\WINXP\system32\kr_done1 C:\WINXP\system32\taskmgr.com . ((((((((((((((((((((((( Dateien erstellt von 2007-12-08 bis 2008-01-08 )))))))))))))))))))))))))))))) . 2008-01-08 18:52 . 2000-08-31 08:00 51,200 --a------ C:\WINXP\NirCmd.exe 2008-01-07 22:11 . 2008-01-07 22:12 <DIR> d-------- C:\bases_x 2008-01-07 20:38 . 2008-01-07 20:38 <DIR> d-a------ C:\WINXP\zts2.exe 2008-01-07 20:38 . 2008-01-07 20:38 <DIR> d-a------ C:\WINXP\system32\vcmgcd32.dll 2008-01-07 20:38 . 2008-01-07 20:38 <DIR> d-a------ C:\WINXP\system32\iifgfgf.dll 2008-01-07 20:38 . 2008-01-07 20:38 <DIR> d-a------ C:\WINXP\rundll16.exe 2008-01-07 20:38 . 2008-01-07 20:38 <DIR> d-a------ C:\WINXP\rundl132.dll 2008-01-07 20:38 . 2008-01-07 20:38 <DIR> d-a------ C:\WINXP\logo1_.exe 2008-01-07 20:34 . 2004-03-11 23:10 152,576 --a------ C:\WINXP\R.COM 2008-01-07 20:34 . 2004-03-11 23:10 140,800 --a------ C:\WINXP\system32\T.COM 2008-01-07 20:34 . 2008-01-07 20:37 50 --a------ C:\WINXP\Lic.xxx 2008-01-07 17:18 . 2008-01-07 17:18 <DIR> d-------- C:\00000 - HOTELS - JANUAR 08 2008-01-07 15:40 . 2008-01-07 15:40 <DIR> d-------- C:\Programme\Lavasoft 2008-01-07 15:40 . 2008-01-07 15:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-01-07 15:39 . 2008-01-07 15:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-01-06 00:07 . 2008-01-06 00:07 <DIR> d-------- C:\Programme\Trend Micro 2008-01-05 23:26 . 2008-01-07 16:08 482 --a------ C:\WINXP\system32\tmp.reg 2008-01-05 23:20 . 2008-01-05 23:20 <DIR> d-------- C:\Programme\WinAce 2008-01-05 22:59 . 2008-01-05 22:59 <DIR> d-------- C:\FOUND.010 2008-01-02 18:38 . 2008-01-02 18:38 <DIR> d-------- C:\Programme\MediaSupplyCodec 2007-12-25 15:01 . 2007-12-25 15:01 982 --a------ C:\WINXP\system32\PQ_BATCH.PQB 2007-12-24 13:28 . 2007-12-24 13:28 <DIR> d-------- C:\Programme\PowerQuest 2007-12-24 13:28 . 2001-08-10 07:00 1,284,280 --------- C:\WINXP\system32\XMNT2001.EXE 2007-12-24 13:28 . 2001-08-10 07:00 3,252 --------- C:\WINXP\system32\drivers\PQNTDRV.SYS 2007-12-23 13:36 . 2007-12-23 13:36 <DIR> d-------- C:\Programme\Bios Kompendium 2007-12-19 01:06 . 2007-12-19 01:06 <DIR> d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\EPSON 2007-12-19 00:47 . 2004-03-12 00:45 15,104 --a------ C:\WINXP\system32\drivers\usbscan.sys 2007-12-19 00:47 . 2004-03-12 00:45 15,104 --a------ C:\WINXP\system32\dllcache\usbscan.sys 2007-12-19 00:43 . 2002-06-17 00:00 86,016 --a------ C:\WINXP\system32\Epfb5cpl.dll 2007-12-19 00:43 . 2002-02-08 00:00 47,104 --a------ C:\WINXP\system32\escimgn.dll 2007-12-19 00:43 . 2001-11-15 00:00 47,104 --a------ C:\WINXP\system32\escimgd.dll 2007-12-19 00:43 . 2002-02-08 00:00 35,840 --a------ C:\WINXP\system32\escwian.dll 2007-12-19 00:43 . 2001-11-15 00:00 33,280 --a------ C:\WINXP\system32\esccm.dll 2007-12-19 00:43 . 2002-06-20 00:00 32,256 --a------ C:\WINXP\system32\escwiad.dll 2007-12-19 00:43 . 2001-11-15 00:00 32,256 --a------ C:\WINXP\system32\escwiab.dll 2007-12-19 00:43 . 2001-11-15 00:00 27,648 --a------ C:\WINXP\system32\escimg.dll 2007-12-19 00:43 . 2002-02-08 00:00 23,552 --a------ C:\WINXP\system32\esccmn.dll 2007-12-19 00:43 . 2002-06-20 00:00 22,528 --a------ C:\WINXP\system32\esccmd.dll 2007-12-19 00:42 . 2007-12-19 00:42 <DIR> d-------- C:\EPSON 2007-12-19 00:42 . 2002-08-09 00:00 184,320 --a------ C:\WINXP\system32\ESDTR.dll 2007-12-19 00:42 . 2002-01-31 00:00 126,976 --a------ C:\WINXP\system32\Esint23.dll 2007-12-19 00:42 . 2002-09-04 00:00 90,112 --a------ C:\WINXP\system32\epcomdd.dll 2007-12-19 00:42 . 2001-05-21 00:00 77,824 --a------ C:\WINXP\system32\Esintpl.dll 2007-12-19 00:42 . 2000-10-11 00:00 53,248 --a------ C:\WINXP\system32\ESICM.dll 2007-12-14 02:33 . 2007-12-14 02:33 <DIR> d-------- C:\CloneDVDTemp 2007-12-14 02:01 . 2007-12-14 02:01 <DIR> d-------- C:\Programme\SlySoft 2007-12-10 19:01 . 2007-12-10 19:01 <DIR> d-------- C:\00000 - HOTELS - DEZEMBER 07 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-20 14:45 --------- d-----w C:\Programme\Netscape 2007-11-14 13:47 --------- d-----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\Talkback 2007-11-14 13:37 --------- d-----w C:\Programme\Opera 2007-11-04 16:32 482 ---ha-w C:\os635093.bin 2005-03-31 22:17 40,960 ----a-w C:\Programme\Uninstall_CDS.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-24 01:16 68856] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-05-10 16:09 23395880] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 23:55 249896] "NeroFilterCheck"="C:\WINXP\system32\NeroCheck.exe" [2001-07-09 11:50 155648] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "winsys001"="qvxgamet3.exe" [] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINXP\system32\CTFMON.EXE" [2004-03-11 23:10 14336] "Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 02:17 443968] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-06-21 19:41:04] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "ampkfst"= {8548E2FE-6182-42E2-824F-D710ED459B59} - C:\WINXP\ampkfst.dll [ ] "bklgvsf"= {39C97067-B455-4011-8C41-221C0DA8E71F} - C:\WINXP\bklgvsf.dll [ ] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"= [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dla] C:\WINXP\system32\dla\tfswctrl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager] --a------ 2007-03-27 15:22 4670968 C:\Programme\Yahoo!\Messenger\YahooMessenger.exe R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINXP\system32\drivers\epm-psd.sys [2004-07-19 13:10] R2 EpmShd;Acer EPM System Hardware Driver;C:\WINXP\system32\drivers\epm-shd.sys [2005-04-07 18:08] R2 osaio;osaio;C:\WINXP\system32\drivers\osaio.sys [2005-06-30 16:58] R2 osanbm;osanbm;C:\WINXP\system32\drivers\osanbm.sys [2005-01-14 15:57] R2 SBKUPNT;SBKUPNT;C:\WINXP\system32\Drivers\SBKUPNT.SYS [2001-07-13 13:56] *Newly Created Service* - PROCEXP90 . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-08 18:58:03 Windows 5.1.2600 Service Pack 2, v.2096 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-01-08 18:58:32 ComboFix-quarantined-files.txt 2008-01-08 18:58:30 Und die Hijackthis-log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:03:56, on 8.1.2008 Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINXP\system32\spoolsv.exe C:\WINXP\system32\acs.exe C:\Acer\eManager\anbmServ.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINXP\system32\svchost.exe C:\WINXP\system32\wuauclt.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINXP\explorer.exe C:\Programme\Trend Micro\HijackThis\This.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINXP\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: (no name) - {96AB91E2-7D18-4BF5-9930-2C213B9658A4} - (no file) O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe O4 - HKLM\..\RunServices: [winsys001] qvxgamet3.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{A2F2997B-5E01-406F-B00E-38771282B80E}: NameServer = 85.255.113.118,85.255.112.21 O17 - HKLM\System\CCS\Services\Tcpip\..\{C1E5714D-5754-4E3F-A8EE-9976DE0E8408}: NameServer = 85.255.113.118,85.255.112.21 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.118 85.255.112.21 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.118 85.255.112.21 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.118 85.255.112.21 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: O21 - SSODL: ampkfst - {8548E2FE-6182-42E2-824F-D710ED459B59} - C:\WINXP\ampkfst.dll (file missing) O21 - SSODL: bklgvsf - {39C97067-B455-4011-8C41-221C0DA8E71F} - C:\WINXP\bklgvsf.dll (file missing) O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Atheros-Konfigurationsdienst (ACS) - Unknown owner - C:\WINXP\system32\acs.exe O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe -- End of file - 6155 bytes |
Dr.Web Cureit
NEW CureIt!
Vundofix * Lade dir vundofix.exe * Doppelklick VundoFix.exe * Klicke "Scan" --> Vundo button. * Nach dem Scannen, klicke den "Remove" Vundo button. * Man wird nun gefragt, ob man "remove" will --> klicke YES * Danach werden alle Desktop-Symbole verschwinden * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK. C:\VundoFix Backups - löschen + Papierkorb leeren Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://virus-protect.org/artikel/bilder/avanger.png 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
http://virus-protect.org/artikel/bilder/avenger4.png 4.) Danach das System unverzüglich neu starten lassen Desweiteren, hast du das Hijacklogfile neu erstellt oder ist es noch das alte aus dem ersten Post? Hast du das Fixewareout angewendet so wie ich es beschrieben habe oder gab es Probleme?! Ansonsten danach das Fixewareout durchführen: [size="3"]DNS-Einträge entfernen/size] Achtung: Solltest du Probleme mit deiner Internet Verbindung bekommen: Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) > wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden) -Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop. -installiere das Tool und achte darauf das "Run fixit" aktiviert ist. -klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!) -achte nun auf die Hinweise die gegeben werden Fixe nun mit HijackThis folgende Einträge im Logfile: Zitat:
|
Hallo Sunny, danke wieder mal fuer deine hilfe! sorry, aber beim letzten Mal hab ich wohl was uebersehen, habe mich aber jetzt strikt an Deine Anweisungen gehalten und hoffentlich nix ueberlesen. Die Energieoptionen lassen sich uebrigens auch noch nicht wieder oeffnen. Gibt es noch ne Rettung fuer diesen Laptop? Hier jedenfalls die Ergebnisse: 1. DrWebCureIt: A0130782.bat;C:\System Volume Information\_restore{14AA2F45-EAED-4772-B691-E92723427C55}\RP366;möglicherweise BATCH.Virus;Verschoben.; FILE0759.CHK\javascript.0;C:\FOUND.007\FILE0759.CHK;VBS.Psyme.377;; FILE0759.CHK;C:\FOUND.007;Archiv enthält infizierte Objekte;Verschoben.; z1648.exe;C:\WINXP\system32;Trojan.MulDrop.4532;Verschoben.; Process.exe;C:\Dokumente und Einstellungen\user\Eigene Dateien\SmitfraudFix\SmitfraudFix;Tool.Prockill;Verschoben.; restart.exe;C:\Dokumente und Einstellungen\user\Eigene Dateien\SmitfraudFix\SmitfraudFix;Tool.ShutDown.11;Verschoben.; Silent Runners.vbs;C:\Dokumente und Einstellungen\user\Eigene Dateien\Worm;möglicherweise BATCH.Virus;Verschoben.; ++++++++++++++++++++++++ 2. Vundofix ausgefuehrt: "No files were found." Nach Klick auf "Remove Vundo": "No files were found. Vundofix will now close." Remove war nicht moeglich und es gab auch keine Abfrage nach einem Neustart. +++++++++++++++++++++++ 3. Avenger ebenso nach deinen anweisungen ausgefuehrt mit sofortigem Neustart. Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\jjojoaas ******************* Script file located at: \??\C:\obqsbqgd.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Error: C:\WINXP\zts2.exe is a folder, not a file! Deletion of file C:\WINXP\zts2.exe failed! Could not process line: C:\WINXP\zts2.exe Status: 0xc00000ba Error: C:\WINXP\system32\vcmgcd32.dll is a folder, not a file! Deletion of file C:\WINXP\system32\vcmgcd32.dll failed! Could not process line: C:\WINXP\system32\vcmgcd32.dll Status: 0xc00000ba Error: C:\WINXP\system32\iifgfgf.dll is a folder, not a file! Deletion of file C:\WINXP\system32\iifgfgf.dll failed! Could not process line: C:\WINXP\system32\iifgfgf.dll Status: 0xc00000ba Error: C:\WINXP\rundll16.exe is a folder, not a file! Deletion of file C:\WINXP\rundll16.exe failed! Could not process line: C:\WINXP\rundll16.exe Status: 0xc00000ba Error: C:\WINXP\rundl132.dll is a folder, not a file! Deletion of file C:\WINXP\rundl132.dll failed! Could not process line: C:\WINXP\rundl132.dll Status: 0xc00000ba Error: C:\WINXP\logo1_.exe is a folder, not a file! Deletion of file C:\WINXP\logo1_.exe failed! Could not process line: C:\WINXP\logo1_.exe Status: 0xc00000ba File C:\WINXP\system32\tmp.reg deleted successfully. File C:\WINXP\ampkfst.dll not found! Deletion of file C:\WINXP\ampkfst.dll failed! Could not process line: C:\WINXP\ampkfst.dll Status: 0xc0000034 File C:\WINXP\foxflpd.exe not found! Deletion of file C:\WINXP\foxflpd.exe failed! Could not process line: C:\WINXP\foxflpd.exe Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. +++++++++++++++++++++++ 4. Fixwareout (beim letzten mal ueberlesen, sorry): Nach Neustart gibt es zwar eine Lan-Verbindung mit Uebertragungsrate, aber es war nicht moeglich, ueber Mozilla oder IE ins Internet zu gehen. Habe die Anweisungen bezuegl. der DNS ausgefuehrt, aber bei mir gibt es keine Einstellung, womit man die DNS aufrechterhalten kann. Oder es heisst anders??? +++++++++++++++++++++++++ 5. Username "user" - 08.01.2008 22:33:44 [Fixwareout edited 9/01/2007] ~~~~~ Prerun check HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters "nameserver"="85.255.113.118 85.255.112.21" <Value cleared. HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{A2F2997B-5E01-406F-B00E-38771282B80E} "nameserver"="85.255.113.118,85.255.112.21" <Value cleared. HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{C1E5714D-5754-4E3F-A8EE-9976DE0E8408} "nameserver"="85.255.113.118,85.255.112.21" <Value cleared. HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{1F9EDDD9-C020-44C3-9D84-0F326BD52865} "DhcpNameServer"="85.255.113.118,85.255.112.21" <Value cleared. Der DNS-Auflösungscache wurde geleert. System was rebooted successfully. ~~~~~ Postrun check HKLM\SOFTWARE\~\Winlogon\ "system"="" .... .... ~~~~~ Misc files. .... ~~~~~ Checking for older varients. .... ~~~~~ Current runs (hklm hkcu "run" Keys Only) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "NeroFilterCheck"="C:\\WINXP\\system32\\NeroCheck.exe" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe" "Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized" .... Hosts file was reset, If you use a custom hosts file please replace it... ~~~~~ End report ~~~~~ +++++++++++++++++++++++++++ 6. Habe schon beim letzten mal mit Hijackthis die Eintraege im Logfile gefixt, aber offentsichtl die falsche Log-datei gepostet.??? Hier die neue: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:15:19, on 8.1.2008 Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINXP\system32\spoolsv.exe C:\WINXP\system32\acs.exe C:\WINXP\Explorer.EXE C:\Acer\eManager\anbmServ.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINXP\system32\svchost.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINXP\system32\wuauclt.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Trend Micro\HijackThis\This.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINXP\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: (no name) - {96AB91E2-7D18-4BF5-9930-2C213B9658A4} - (no file) O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe O4 - HKLM\..\RunServices: [winsys001] qvxgamet3.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: O21 - SSODL: ampkfst - {8548E2FE-6182-42E2-824F-D710ED459B59} - C:\WINXP\ampkfst.dll (file missing) O21 - SSODL: bklgvsf - {39C97067-B455-4011-8C41-221C0DA8E71F} - C:\WINXP\bklgvsf.dll (file missing) O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Atheros-Konfigurationsdienst (ACS) - Unknown owner - C:\WINXP\system32\acs.exe O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe -- End of file - 5716 bytes +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ |
Die schädliche Malware sitzt tief im System, wollen wir nun versuchen sie dort herauszulöschen: Schädlinge im Ordner der Systemwiederherstellung: * Deaktiviere die Systemwiederherstellung -> So wird es gemacht. Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Online-Viren-Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen |
Okay, hier also das Ergebnis von Kaspersky: ------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Mittwoch, 9. Januar 2008 20:33:44 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2, v.2096 (Build 2600) Version von Kaspersky Online Scanner: 5.0.98.1 Letztes Update der Antiviren-Datenbanken: 9/01/2008 Anzahl der Einträge in den Antiviren-Datenbanken: 471635 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Arbeitsplatz: C:\ D:\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 110680 Viren gefunden: 3 Infizierte Objekte gefunden: 2 Verdächtige Objekte gefunden: 2 Untersuchungszeit: 01:17:38 Name des infizierten Objekts / Virusname / Letzte Aktion C:\WINXP\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINXP\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINXP\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINXP\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINXP\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINXP\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINXP\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINXP\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINXP\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen C:\WINXP\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINXP\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen C:\WINXP\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen C:\WINXP\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINXP\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINXP\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINXP\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINXP\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINXP\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINXP\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINXP\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINXP\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINXP\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINXP\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINXP\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINXP\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINXP\WindowsUpdate.log Das Objekt ist gesperrt übersprungen C:\WINXP\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINXP\SoftwareDistribution\EventCache\{6C01AAD3-E6FD-4F82-B077-0C5845D8A548}.bin Das Objekt ist gesperrt übersprungen C:\WINXP\SoftwareDistribution\DataStore\Logs\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINXP\SoftwareDistribution\DataStore\Logs\edb.log Das Objekt ist gesperrt übersprungen C:\WINXP\SoftwareDistribution\DataStore\DataStore.edb Das Objekt ist gesperrt übersprungen C:\WINXP\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINXP\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINXP\wiadebug.log Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\pinfect.zip/foxflpd.exe Verdächtige Objekte: Password-protected-EXE übersprungen C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\pinfect.zip ZIP: verdächtig - 1 übersprungen C:\Dokumente und Einstellungen\user\NtUser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008010920080110\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\~DF5EEC.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\DoctorWeb\Quarantine\FILE0759.CHK Infizierte Objekte: Trojan-Downloader.JS.Inor.a übersprungen C:\Dokumente und Einstellungen\user\DoctorWeb\Quarantine\z1648.exe Infizierte Objekte: not-virus:Hoax.Win32.Renos.fk übersprungen C:\Dokumente und Einstellungen\user\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\Anwendungsdaten\Skype\rick.de.ville\index2.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\Anwendungsdaten\Skype\rick.de.ville\contactgroup256.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\Anwendungsdaten\Skype\rick.de.ville\dyncontent\bundle.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\Anwendungsdaten\Skype\rick.de.ville\user4096.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\Anwendungsdaten\Skype\rick.de.ville\chatmsg1024.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\Anwendungsdaten\Skype\rick.de.ville\user1024.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\Anwendungsdaten\Skype\rick.de.ville\user16384.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\Anwendungsdaten\Skype\rick.de.ville\call256.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\Anwendungsdaten\Skype\rick.de.ville\callmember256.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\Anwendungsdaten\Skype\rick.de.ville\chatmember256.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\Anwendungsdaten\Skype\rick.de.ville\chatmsg256.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\Anwendungsdaten\Skype\rick.de.ville\chat512.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\Anwendungsdaten\Skype\rick.de.ville\chatmsg512.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\Anwendungsdaten\Skype\rick.de.ville\profile4096.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\Anwendungsdaten\Skype\rick.de.ville\transfer256.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\Anwendungsdaten\Skype\rick.de.ville\transfer512.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\user\ntuser.dat Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. |
Hallo, moechte nicht draengeln, aber ich komme alleine leider nicht weiter. Kann mal jemand auf das Kaspersky-Log schauen bitte? |
Problem leider bis jetzt nicht behoben, koennt ihr mir weiterhelfen???? Bin schon voellig verzweifelt... |
Hallo Tangomaus, ich bin ein großer Freund des klaren Wortes und ich behaupte das deine Probleme mit dem von dir verwendeten System zusammenhängen. Dieses Betriebssystem ist nämlich geklaut !! Du wirst nur dann Ruhe finden wenn du dich dazu durchringen kannst, ein Betzriebssystem käuflich zu erwerben... Irrlicht |
Hallo Tangomaus, ich bin zwar kein Experte wie der Sunny, aber ich schlage vor mal den folgenden, recht simplen Lösungsansatz zu verfolgen. Kaputtmachen kannst Du damit jedenfalls nichts. Vielleicht kommen wir ja so etwas weiter ;). 1. Deinstalliere die völlig veraltete Java- Version über die Systemsteuerung -> Software. 2. Lade den CCleaner Download herunter und setze im Menuepunkt "Cleaner" unter "erweitert" Häkchen bei "Alte Prefetch Daten" und "IIS- Logdateien". Scanne nun dein System und lösche alles Gefundene. Lass dann unter "Registry" den Registrycleaner mehrfach durchlaufen, bis nichts mehr gefunden wird. 3. Starte den PC im abgesicherten Modus (F8 drücken beim Booten). 4. Scanne das System mit Spybot und Adaware und lösche alles Gefundene. 5. Wiederhole Punkt 2 (immer noch abgesicherter Modus). 6. Scanne das System (immer noch abgesicherter Modus) mit Antivir und lösche noch nichts, sondern notiere Dir die Funde komplett mit Pfadangabe. 7. Starte den PC neu im normalen Modus. 8. Wiederhole alle Scans und poste anschliessend alles noch Gefundene (zunächst noch nichts löschen) einschliesslich der Antivirfunde im abgesicherten Modus und berichte, welche Probleme aktuell noch vorhanden sind. Gruß Jaipur |
Hallo Irrlicht, eine höfliche Frage: Woran erkennst Du, dass das Betriebssystem geklaut ist? Intressiert mich ehrlich und wäre Dir dankbar für eine Aufklärung. Gruß Jaipur |
Vielen vielen Dank fuer eure hilfe, konnte derweil mal zwischenzeitlich nicht ins Internet, gibt leider hier oefter mal Probleme mit der Line. Vielen Dank Jaipur, werde ich sofort ausprobieren. Irrlicht Du irrst! Trotzdem Danke fuer den Tip! |
Hallo Jaipur, hab alles so gemacht wie Du gesagt hast: 1. Java deinstalliert 2. CCleaner: gescannt und geloescht, Registry ebenfalls 3. PC-Neustart im abgesicherten Modus 4. Scannen und loeschen mit Spybot und Adaware 5. CCleaner im abgesicherten Modus 6. Scannen mit Antivir, hier das Ergebnis: AntiVir PersonalEdition Classic Report file date: Freitag, 18. Januar 2008 20:36 Scanning for 1054433 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 2, v.2096) [5.1.2600] Username: Administrator Computer name: RICK Version information: BUILD.DAT : 270 15603 Bytes 19.09.2007 13:32:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 05.09.2007 23:12:10 AVSCAN.DLL : 7.0.6.0 49192 Bytes 05.09.2007 23:12:10 LUKE.DLL : 7.0.5.3 147496 Bytes 05.09.2007 23:12:12 LUKERES.DLL : 7.0.6.1 10280 Bytes 05.09.2007 23:12:12 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 22:57:36 ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 20:57:58 ANTIVIR2.VDF : 7.0.2.0 948736 Bytes 15.01.2008 22:40:44 ANTIVIR3.VDF : 7.0.2.15 191488 Bytes 17.01.2008 22:40:26 AVEWIN32.DLL : 7.6.0.48 3080704 Bytes 15.01.2008 22:40:44 AVWINLL.DLL : 1.0.0.7 14376 Bytes 20.04.2007 22:55:42 AVPREF.DLL : 7.0.2.2 25640 Bytes 05.09.2007 23:12:10 AVREP.DLL : 7.0.0.1 155688 Bytes 20.04.2007 22:55:42 AVPACK32.DLL : 7.6.0.3 360488 Bytes 15.01.2008 22:40:44 AVREG.DLL : 7.0.1.6 30760 Bytes 05.09.2007 23:12:10 AVARKT.DLL : 1.0.0.20 278568 Bytes 05.09.2007 23:12:08 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 05.09.2007 23:12:08 NETNT.DLL : 7.0.0.0 7720 Bytes 20.04.2007 22:55:42 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 05.09.2007 23:12:02 RCTEXT.DLL : 7.0.62.0 86056 Bytes 05.09.2007 23:12:02 SQLITE3.DLL : 3.3.17.1 339968 Bytes 05.09.2007 23:12:12 Configuration settings for the scan: Jobname..........................: Manual Selection Configuration file...............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: off Scan boot sector.................: off Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: Freitag, 18. Januar 2008 20:36 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'Explorer.EXE' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'aawservice.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 12 processes with 12 modules were scanned Starting to scan the registry. The registry was scanned ( '22' files ). Starting the file scan: Begin scan in 'C:\' <ACER> C:\pagefile.sys [WARNING] The file could not be opened! C:\Dokumente und Einstellungen\user\Eigene Dateien\SmitfraudFix.zip [0] Archive type: ZIP --> SmitfraudFix/SmiUpdate.exe [DETECTION] Is the Trojan horse TR/VB.20480 [WARNING] The file was ignored! C:\Dokumente und Einstellungen\user\Eigene Dateien\SmitfraudFix\SmitfraudFix\SmiUpdate.exe [DETECTION] Is the Trojan horse TR/VB.20480 [WARNING] The file was ignored! End of the scan: Freitag, 18. Januar 2008 22:02 Used time: 1:26:27 min The scan has been done completely. 10050 Scanning directories 240714 Files were scanned 2 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 0 files were deleted 0 files were repaired 0 files were moved to quarantine 0 files were renamed 1 Files cannot be scanned 240712 Files not concerned 6886 Archives were scanned 3 Warnings 0 Notes ___________________________________________________________________________ 7. PC Neustart normal 8. Alle Scans noch einmal, hier das Ergebnis: CCleaner: Ergebnis CCleaner Registry Cleaner: Problem: Daten: Registry-Schluessel: - Ungueltige Dateiendungen (327C8820-8DED-4BD2-A7F6-D07B9DD5698F) HKCR\(327C8820-8DED-4BD2-A7F6-D07B9DD5698F) - ungueltige Dateiendungem (A4B980AE-402C-4EA49D1B-83A7A8CEE7E4) HKCR\(A4B980AE-402C-4EA49D1B-83A7A8CEE7E4) ______________________________________________________________ Spybot: KEINE SPIONE GEFUNDEN! _______________________________________________________________ Adaware (kompl Report im Anhang): Ad-Aware 2007 Build Log File Created on: 2008-01-18 23:11:33 Using Definitions File: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware 2007\core.aawdef Computer name: RICK Name of user performing scan: SYSTEM System information =========================== Number of processors: 1 Processor type: Intel(R) Pentium(R) M processor 1.73GHz Memory Available: 56% Total Physical Memory: 1063305216 Bytes Available Physical Memory: 591851520 Bytes Total Page File Size: 2563792896 Bytes Available On Page File: 2180374528 Bytes Total Virtual Memory: 2147352576 Bytes Available Virtual Memory: 2003877888 Bytes OS: Microsoft Windows XP Service Pack 2, v.2096 (Build 2600) Ad-Aware 2007 Settings =========================== Skipping files larger than 1048576 kB Ignoring infections with lower TAI than: 3 Extended Ad-Aware 2007 Settings =========================== Unloading known modules during scan Ignoring spanned files when scanning cab archives Reanalyzing results after scanning before displaying results Trying to unload modules prior to removal Let Windows remove files currently in use at next reboot Removing quarantined objects after restore Deactivating Ad-Watch during scans Writeprotecting system files after repairs Include info about ignored objects in log file Including basic settings in log file Including advanced settings in log file Including user and computer name in log file Notify when Definitions File is outdated Create and save WebUpdate log file Databaseinfo =========================== Version number: 44 Build Number: 0 Build Date and Time: 2008/01/14 09:22:58 Scan Statistics =========================== Method: Smart Scan tracking cookies.............................: On Scan ADS filestreams..............................: Off Item Scanned: 106675 Infections Detected: 1 Infections Ignored: 0 Scan detailed statistics =========================== Type Critical Total Process Scan....: 0 0 Registry Scan...: 0 0 Registry PE Scan: 0 0 Hosts File Scan.: 0 0 File Scan.......: 0 0 Folder Scan.....: 0 0 LSP Scan........: 0 0 ADS Scan........: 0 0 Cookie Scan.....: 0 0 File Hash Scan..: 0 0 Infections Found =========================== Family Id: 9999 Name: MRU Object Category: MRU Object TAI:0 Item Id: 1 Value: MRU Path: C:\Dokumente und Einstellungen\user\Recent Count: 4 Items Ignored During Scan =========================== |
Hallo, waere euch sehr dankbar, wenn noch mal jemand auf diese scan-ergebnisse schauen kann. trotz loeschen mit ccleaner, spybot und adaware scheint es immer noch malware zu geben. bin nach wie vor ratlos und leider nicht in der lage, jeden tag online zu gehen, sonst waere das problem wahrscheinlich schon behoben. derzeit zeigt sich als einzig uebrig gebliebene stoerung nur, das die Internetseiten wesentl laenger brauchen, bis sie geladen sind... vielen dank im voraus! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:53 Uhr. |
Copyright ©2000-2024, Trojaner-Board