|
BRAUCHE DRINGEND EXPERTENHILFE MIT TR/Vundo.Gen Logfile Liebes Trojaner-Forum, mein Name ist Petra und ich kenn mich mit Computern nicht sooo gut aus. Aber ein PC-Dummchen bin ich zum Glück auch nicht... Hier mein Problem: Ich habe mir Vundo.Gen eingefangen und krieg die Antivir Meldungen mit opnmj.dll nicht mehr weg... löschen kann ich den bösen Buben auch nicht und Hijack (jaja meine Herren, ich bin schon ziemlich weit gekommen mit meinem PRoblem!) gibt mir nur ein für mich unverständliches logfile... :heulen::heulen::heulen: HIER MEINE BITTE! WELCHE EINTRÄGE MUSS ICH LÖSCHEN UM ENDLICH ENDLICH WIEDER FREI ZU SEIN? :aplaus::aplaus::aplaus: Danke im vorraus und Kuß, Eure Petra. :heilig: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:14:25, on 07.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Acer\eManager\anbmServ.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {24C61C09-62C0-42ED-B640-53F7FEC9098A} - C:\WINDOWS\system32\nnnomnn.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {A78ECC30-2596-4203-9F96-799F3108076A} - C:\WINDOWS\system32\opnmj.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [AnyDVD] "C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122291116233 O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Steuerung des DownloadManager ) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: nnnomnn - C:\WINDOWS\SYSTEM32\nnnomnn.dll O23 - Service: Adobe LM Service - Unknown owner - -"C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe" (file missing) O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Automatic LiveUpdate Scheduler - Unknown owner - -"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - -"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" (file missing) O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - -"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe" (file missing) O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - -"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" (file missing) O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: GoBack Polling Service (GBPoll) - Unknown owner - -"C:\Programme\Norton GoBack\GBPoll.exe" (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - -"C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe" (file missing) O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Unknown owner - -"C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE" (file missing) O23 - Service: Machine Debug Manager (MDM) - Unknown owner - -"C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe" (file missing) O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: Symantec Core LC - Unknown owner - -C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing) -- End of file - 8819 bytes |
Halli hallo. Wechsel bitte in den abgesicherten Modus (F8 beim Hochfahren drücken). Dort fixt du dann folgende Einträge: Zitat:
Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://virus-protect.org/artikel/bilder/avanger.png 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
http://virus-protect.org/artikel/bilder/avenger4.png 4.) Danach das System unverzüglich neu starten lassen 5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile. Poste ausserdem den Inhalt der C:\avenger.txt Datei. Danach lasse bitte MWAV nach der Anleitung aus meiner Signatur laufen.. |
Halli hallo. Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Arbeiten mit regedit. Starte den Rechner im abgesicherten Modus Start->ausführen-> " regedit "->#ENTER# Datei->exportieren->speichern an einem Platz wo du sie wiederfindest.. ;) Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die Import-Funktion wiederherstellen. Dann navigierst du links zu den folgenden Schlüsseln und löscht sie: Zitat:
Installation des cCleaners bitte ohne die Toolbar! Benutzerdefinierte Installation wählen. Dann startest du den Rechner im normalen Modus neu. Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) |
Hallo Undoreal, erstmal vielen lieben Dank für die schnelle Hilfe!!! Ich bin nach deiner Anleitung vorgegangen, weiß aber nicht genau ob ich alles richtig gemacht habe.. Hier also die find.bat datei: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.6.9 Sprache: German Virus-Datenbank Datum: 2/8/2008 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with tencent qq Spyware/Adware (heart.mp3)! Action taken: Keine Aktion vorgenommen. System found infected with egroup Spyware/Adware (access.exe)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. System found infected with remacc.multiwebsurv Generic Malware (C:\WINDOWS\iun6002.exe)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\Reimar\Desktop\Waves Diamond Bundle + L3 v5.2 - DX,VST,RTAS [piratox]\Waves L3 v5.2\setup.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Reimar\Desktop\Waves Diamond Bundle + L3 v5.2 - DX,VST,RTAS [piratox]\Waves L3 v5.2\setup.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Programme\Trend Micro\HijackThis\backups\backup-20080208-211905-225.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.gel". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP2\A0000021.exe//file1 markiert als "not-a-virus:FraudTool.Win32.AntiSpyware.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{18A3BEE4-69C8-4613-BC76-0027E40DCE5D}\RP3\A0000118.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.gel". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\Dokumente und Einstellungen\Reimar\Desktop\downloads_v\dill\hear t.mp3 Offending file found: C:\Dokumente und Einstellungen\Reimar\Desktop\tuneup utilities 2006\access.exe Offending file found: C:\WINDOWS\system32\unrar.dll Offending file found: C:\WINDOWS\iun6002.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKCR\magnet !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\##siggstes2#qb !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\D !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{252a10d0-f177-11db-b199-00c09f679b10} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{a4b3ae10-ce99-11db-b149-00c09f679b10} !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Executable Command Found in D\Shell\AutoRun\command: D:\setupSNK.exe Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... Invalid Entry DllName = nnnomnn.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnomnn). Deleting Registry Key nnnomnn... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 125335 Gefundene Viren: 14 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 40 Dauer des Scans bisher: 01:41:01 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 11:54:59,98 Batchende: 11:55:13,53 DANKE!!!! Petra |
Halli hallo. Zitat:
|
Hallo Undoreal, hoffe, ich hab's richtig gemacht... Die Datei Waves L3 v5.2\setup.exe konnte ich nicht prüfen lassen, da sie glaub ich zu groß ist? Hier die Auswertung: Datei Heart.mp3 empfangen 2008.02.09 17:26:29 (CET) Status: Beendet Ergebnis: 0/32 (0%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.2.6.10 2008.02.05 - AntiVir 7.6.0.62 2008.02.08 - Authentium 4.93.8 2008.02.08 - Avast 4.7.1098.0 2008.02.08 - AVG 7.5.0.516 2008.02.09 - BitDefender 7.2 2008.02.09 - CAT-QuickHeal None 2008.02.08 - ClamAV 0.92 2008.02.09 - DrWeb 4.44.0.09170 2008.02.09 - eSafe 7.0.15.0 2008.01.28 - eTrust-Vet 31.3.5522 2008.02.08 - Ewido 4.0 2008.02.09 - FileAdvisor 1 2008.02.09 - Fortinet 3.14.0.0 2008.02.09 - F-Prot 4.4.2.54 2008.02.08 - F-Secure 6.70.13260.0 2008.02.09 - Ikarus T3.1.1.20 2008.02.09 - Kaspersky 7.0.0.125 2008.02.09 - McAfee 5226 2008.02.08 - Microsoft 1.3204 2008.02.09 - NOD32v2 2861 2008.02.09 - Norman 5.80.02 2008.02.08 - Panda 9.0.0.4 2008.02.09 - Prevx1 V2 2008.02.09 - Rising 20.29.22.00 2008.01.30 - Sophos 4.26.0 2008.02.09 - Sunbelt 2.2.907.0 2008.02.09 - Symantec 10 2008.02.09 - TheHacker 6.2.9.213 2008.02.09 - VBA32 3.12.6.0 2008.02.09 - VirusBuster 4.3.26:9 2008.02.09 - Webwasher-Gateway 6.6.2 2008.02.09 - weitere Informationen File size: 2395201 bytes MD5: 10f6f4720d340b90fc2d7adc6fd803cf SHA1: d4d67708e64dabfef5ba5548a154977190f5fe01 PEiD: - Datei access.exe empfangen 2008.02.09 17:37:22 (CET) Status: Beendet Ergebnis: 0/32 (0%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.2.6.10 2008.02.05 - AntiVir 7.6.0.62 2008.02.08 - Authentium 4.93.8 2008.02.08 - Avast 4.7.1098.0 2008.02.08 - AVG 7.5.0.516 2008.02.09 - BitDefender 7.2 2008.02.09 - CAT-QuickHeal None 2008.02.08 - ClamAV 0.92 2008.02.09 - DrWeb 4.44.0.09170 2008.02.09 - eSafe 7.0.15.0 2008.01.28 - eTrust-Vet 31.3.5522 2008.02.08 - Ewido 4.0 2008.02.09 - FileAdvisor 1 2008.02.09 - Fortinet 3.14.0.0 2008.02.09 - F-Prot 4.4.2.54 2008.02.08 - F-Secure 6.70.13260.0 2008.02.09 - Ikarus T3.1.1.20 2008.02.09 - Kaspersky 7.0.0.125 2008.02.09 - McAfee 5226 2008.02.08 - Microsoft 1.3204 2008.02.09 - NOD32v2 2861 2008.02.09 - Norman 5.80.02 2008.02.08 - Panda 9.0.0.4 2008.02.09 - Prevx1 V2 2008.02.09 - Rising 20.29.22.00 2008.01.30 - Sophos 4.26.0 2008.02.09 - Sunbelt 2.2.907.0 2008.02.09 - Symantec 10 2008.02.09 - TheHacker 6.2.9.213 2008.02.09 - VBA32 3.12.6.0 2008.02.09 - VirusBuster 4.3.26:9 2008.02.09 - Webwasher-Gateway 6.6.2 2008.02.09 - weitere Informationen File size: 27136 bytes MD5: feb17cd5dd509c8f9e82dc080d9ce269 SHA1: 44c49a6bf7c7fccfd24780143185ee0537e48137 PEiD: - Datei unrar.dll empfangen 2008.02.10 14:08:22 (CET) Status: Beendet Ergebnis: 2/32 (6.25%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.2.6.10 2008.02.05 - AntiVir 7.6.0.62 2008.02.08 - Authentium 4.93.8 2008.02.08 - Avast 4.7.1098.0 2008.02.09 - AVG 7.5.0.516 2008.02.09 - BitDefender 7.2 2008.02.10 - CAT-QuickHeal None 2008.02.08 - ClamAV 0.92 2008.02.10 - DrWeb 4.44.0.09170 2008.02.10 - eSafe 7.0.15.0 2008.01.28 - eTrust-Vet 31.3.5522 2008.02.08 - Ewido 4.0 2008.02.10 - FileAdvisor 1 2008.02.10 - Fortinet 3.14.0.0 2008.02.10 - F-Prot 4.4.2.54 2008.02.10 - F-Secure 6.70.13260.0 2008.02.09 - Ikarus T3.1.1.20 2008.02.10 Email-Worm.Win32.NetSky.R Kaspersky 7.0.0.125 2008.02.10 - McAfee 5226 2008.02.08 - Microsoft 1.3204 2008.02.10 - NOD32v2 2861 2008.02.09 - Norman 5.80.02 2008.02.08 - Panda 9.0.0.4 2008.02.09 - Prevx1 V2 2008.02.10 - Rising 20.29.22.00 2008.01.30 - Sophos 4.26.0 2008.02.10 - Sunbelt 2.2.907.0 2008.02.09 VIPRE.Suspicious Symantec 10 2008.02.10 - TheHacker 6.2.9.215 2008.02.09 - VBA32 3.12.6.0 2008.02.09 - VirusBuster 4.3.26:9 2008.02.09 - Webwasher-Gateway 6.6.2 2008.02.10 - weitere Informationen File size: 28108 bytes MD5: 47975cabdb97868c58a6244baa3b3e0a SHA1: 9f428e85ed81a8fd730ee33f75b7adc14ce5b6cf PEiD: PEtite v2.2 packers: Petite packers: Petite Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. Datei iun6002.exe empfangen 2008.02.10 14:24:07 (CET) Status: Beendet Ergebnis: 0/32 (0%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.2.6.10 2008.02.05 - AntiVir 7.6.0.62 2008.02.08 - Authentium 4.93.8 2008.02.08 - Avast 4.7.1098.0 2008.02.09 - AVG 7.5.0.516 2008.02.09 - BitDefender 7.2 2008.02.10 - CAT-QuickHeal None 2008.02.08 - ClamAV 0.92 2008.02.10 - DrWeb 4.44.0.09170 2008.02.10 - eSafe 7.0.15.0 2008.01.28 - eTrust-Vet 31.3.5522 2008.02.08 - Ewido 4.0 2008.02.10 - FileAdvisor 1 2008.02.10 - Fortinet 3.14.0.0 2008.02.10 - F-Prot 4.4.2.54 2008.02.10 - F-Secure 6.70.13260.0 2008.02.09 - Ikarus T3.1.1.20 2008.02.10 - Kaspersky 7.0.0.125 2008.02.10 - McAfee 5226 2008.02.08 - Microsoft 1.3204 2008.02.10 - NOD32v2 2861 2008.02.09 - Norman 5.80.02 2008.02.08 - Panda 9.0.0.4 2008.02.09 - Prevx1 V2 2008.02.10 - Rising 20.29.22.00 2008.01.30 - Sophos 4.26.0 2008.02.10 - Sunbelt 2.2.907.0 2008.02.09 - Symantec 10 2008.02.10 - TheHacker 6.2.9.215 2008.02.09 - VBA32 3.12.6.0 2008.02.09 - VirusBuster 4.3.26:9 2008.02.09 - Webwasher-Gateway 6.6.2 2008.02.10 - weitere Informationen File size: 737280 bytes MD5: 456462905091db042141487fe030e3c9 SHA1: bb57b4850528c3c8d9bf159fb5b9f414ddc7d5d7 PEiD: Armadillo v1.71 Datei AUTORUN.INF empfangen 2008.02.10 14:32:43 (CET) Status: Beendet Ergebnis: 0/32 (0%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.2.6.10 2008.02.05 - AntiVir 7.6.0.62 2008.02.08 - Authentium 4.93.8 2008.02.08 - Avast 4.7.1098.0 2008.02.09 - AVG 7.5.0.516 2008.02.09 - BitDefender 7.2 2008.02.10 - CAT-QuickHeal None 2008.02.08 - ClamAV 0.92 2008.02.10 - DrWeb 4.44.0.09170 2008.02.10 - eSafe 7.0.15.0 2008.01.28 - eTrust-Vet 31.3.5522 2008.02.08 - Ewido 4.0 2008.02.10 - FileAdvisor 1 2008.02.10 - Fortinet 3.14.0.0 2008.02.10 - F-Prot 4.4.2.54 2008.02.10 - F-Secure 6.70.13260.0 2008.02.09 - Ikarus T3.1.1.20 2008.02.10 - Kaspersky 7.0.0.125 2008.02.10 - McAfee 5226 2008.02.08 - Microsoft 1.3204 2008.02.10 - NOD32v2 2861 2008.02.09 - Norman 5.80.02 2008.02.08 - Panda 9.0.0.4 2008.02.09 - Prevx1 V2 2008.02.10 - Rising 20.29.22.00 2008.01.30 - Sophos 4.26.0 2008.02.10 - Sunbelt 2.2.907.0 2008.02.09 - Symantec 10 2008.02.10 - TheHacker 6.2.9.215 2008.02.09 - VBA32 3.12.6.0 2008.02.09 - VirusBuster 4.3.26:9 2008.02.09 - Webwasher-Gateway 6.6.2 2008.02.10 - weitere Informationen File size: 100 bytes MD5: af0e90a35be3685c6b26ffc6bc5188f1 SHA1: c770e97fe39e3143da8a3cfad3fa9a3908977d17 PEiD: - VIELEN DANK!!! |
Ok, hier noch die avenger-textdatei: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\vyalufas ******************* Script file located at: \??\C:\Program Files\lgwywwfl.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\SYSTEM32\nnnomnn.dll deleted successfully. Could not open file C:\WINDOW\system32\opnmj.dll for deletion Deletion of file C:\WINDOW\system32\opnmj.dll failed! Could not process line: C:\WINDOW\system32\opnmj.dll Status: 0xc000003a Completed script processing. ******************* Finished! Terminate. Liebe Grüße, Petra |
Zitat:
|
Ja, ich denke ich weiß was das ist und kenne die Quelle. |
O.k. dann lösche bitte noch mit Avenger die C:\WINDOWS\system32\unrar.dll. Zitat:
|
Hallo Undoreral, habe versucht die Datei mit Avenger zu löschen, was leider nicht funktioniert hat. Avenger gibt folgende Fehlermeldung: ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Fatal error: could not create new script file. Error code: 0 Error logged to errorlog.txt. Aborting now! LG Petra |
Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://virus-protect.org/artikel/bilder/avanger.png 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
http://virus-protect.org/artikel/bilder/avenger4.png 4.) Danach das System unverzüglich neu starten lassen 5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile. Poste ausserdem den Inhalt der C:\avenger.txt Datei. |
Ah ja, jetzt hat's geklappt!!! Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\srujqbks ******************* Script file located at: \??\C:\Program Files\majuovjg.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\unrar.dll deleted successfully. Completed script processing. ******************* Finished! Terminate. LG Petra |
:) das dachte ich mir.. Hast du noch Probleme? Ansonsten bist du geheilt und entlassen.. |
Hallo Undoreal, vielen, vielen Dank für deine Hilfe!!!:aplaus: Hier nochmal die find.bat datei von meinem letzten eScan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.6.9 Sprache: German Virus-Datenbank Datum: 2/8/2008 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with tencent qq Spyware/Adware (heart.mp3)! Action taken: Keine Aktion vorgenommen. System found infected with egroup Spyware/Adware (access.exe)! Action taken: Keine Aktion vorgenommen. System found infected with remacc.multiwebsurv Generic Malware (C:\WINDOWS\iun6002.exe)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\Reimar\Desktop\Waves Diamond Bundle + L3 v5.2 - DX,VST,RTAS [piratox]\Waves L3 v5.2\setup.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Reimar\Desktop\Waves Diamond Bundle + L3 v5.2 - DX,VST,RTAS [piratox]\Waves L3 v5.2\setup.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\Dokumente und Einstellungen\Reimar\Desktop\downloads_v\dill\heart.mp3 Offending file found: C:\Dokumente und Einstellungen\Reimar\Desktop\tuneup utilities 2006\access.exe Offending file found: C:\WINDOWS\iun6002.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKCR\magnet !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Executable Command Found in D\Shell\AutoRun\command: D:\setupSNK.exe ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 125156 Gefundene Viren: 7 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 18 Dauer des Scans bisher: 01:07:24 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 10:38:02,67 Batchende: 10:38:23,78 Liebe Grüße und tausend Dank!!!:bussi: Petra |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:36 Uhr. |
Copyright ©2000-2024, Trojaner-Board