|
ganz viele trojaner, bitte um hilfe hallo, habe denke ich ganz dolle mist gebaut und steh nun dumm da. antivir kann ich gar nicht mehr aktivieren weil es sonst nur piepst. habe mal aufgeschrieben was in der quarantäne ist: TR/PSW.AGENT.YR TR/Vundo.Gen BDS/Agent.alm hier noch mein log file Logfile of HijackThis v1.99.1 Scan saved at 01:20:55, on 29.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\ltmoh\Ltmoh.exe C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\ircomm2k.exe C:\WINDOWS\System32\svchost.exe C:\DOKUME~1\Vias\LOKALE~1\Temp\Rar$EX00.515\HijackThis.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Gamburg provider - {0CA10898-7F98-4709-A479-B8134AB3D9F3} - klsock.dll (file missing) O2 - BHO: (no name) - {2C0AD99D-B8D2-47A0-95BE-B56E1253585E} - C:\WINDOWS\system32\tussr.dll (file missing) O2 - BHO: (no name) - {45C2A50F-8F4A-496E-AF02-D0207525BF5A} - C:\WINDOWS\system32\qomkhii.dll (file missing) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_S18A.tmp" /EF "HKLM" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [JavaCore] C:\Programme\JavaCore\JavaCore.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'worsock.dll' missing O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O20 - Winlogon Notify: qomkhii - qomkhii.dll (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm (IrCOMM2kSvc) - Jan Kiszka - C:\WINDOWS\system32\ircomm2k.exe O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe kann mir bitte jemand helfen? habe natürlich auch gegoogelt aber nur was zum TR/Vundo.Gen gefunden. da stand mit superantispy bekomm ich es weg, hat aber leider nicht funktioniert. danke im vorraus für eure zeit gruß |
Vundofix * Lade dir vundofix.exe * Doppelklick VundoFix.exe * Klicke "Scan" --> Vundo button. * Nach dem Scannen, klicke den "Remove" Vundo button. * Man wird nun gefragt, ob man "remove" will --> klicke YES * Danach werden alle Desktop-Symbole verschwinden * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK. * nach dem neustart, navigierst du zur datei C:\vundofix.txt, poste den inhalt * C:\VundoFix Backups - löschen + Papierkorb leeren * erstelle ein neues hjt-logfile und poste es. |
vundo hat nichts gefunden hallo alexander, danke das du dich meiner annimmst. habe deine anweisungen befolgt. vundo hat aber nichts gefunden. die desktopsymbole sind auch alle noch da. dazu muss ich sagen das diese symbole ja auch denke ich alle in ordnung gehen da ich gestern in meiner not diese programme alle installiert habe um die viren von meinem computer zu schmeißen. die haben auch alle ziemlich viel gefunden und wurden repariert. allerdings macht mein antivir immer noch terror. hier die textdatei von vundo: VundoFix V6.7.10 Checking Java version... Sun Java not detected Scan started at 09:04:51 29.02.2008 Listing files found while scanning.... No infected files were found. Beginning removal... was nun? grüße |
VirutumodeBeGone 1. Download VirtumundoBegone und speichere es auf Deinem Desktop 2 .Jetzt starte im agesicherten Modus . 3, Wenn Du im abgesicherten Modus eingelooggt bist, führe VirtumundoBeGone durch einen Doppleklick auf VirtumundoBeGone.exe aus und folge den Anweisungen. 4. Wenn das Programm fertig ist, beende es, starte im normalen Modus neuExit when it has finished, and reboot back to normal mode. 5. Es sollte sich automatisch das Notepad öffnen und das Logfile präsentieren, dieses postest Du in Deinem Thread. Wenn nicht liegt es auf dem Desktop als VBG.txt. |
nur noch abgesicherter modus funktioniert so, habe deine anweisungen befolgt und nun funktioniert nichts mehr im normalen modus... nachdem er mir das logfile gezeigt hat, habe ich ihn runtergefahren und neu gestartet seither sehe ich nurnoch einen schwarzen bildschirm nach dem hochfahren (mouse funktioniert). nach ungefähr 10min erscheint dann das fenster explorer.exe muss beendet werden danach kommt nichts mehr, alles schwarz nur meine mouse funktioniert. hier mein teuer bezahltes logfile: [02/29/2008, 11:34:16] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Vias\Desktop\VirtumundoBeGone.exe" ) [02/29/2008, 11:34:26] - Detected System Information: [02/29/2008, 11:34:26] - Windows Version: 5.1.2600, Service Pack 2 [02/29/2008, 11:34:26] - Current Username: Administrator (Admin) [02/29/2008, 11:34:26] - Windows is in SAFE mode with Networking. [02/29/2008, 11:34:26] - Searching for Browser Helper Objects: [02/29/2008, 11:34:26] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper) [02/29/2008, 11:34:26] - BHO 2: {0CA10898-7F98-4709-A479-B8134AB3D9F3} (Gamburg provider) [02/29/2008, 11:34:26] - BHO 3: {2C0AD99D-B8D2-47A0-95BE-B56E1253585E} () [02/29/2008, 11:34:26] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/29/2008, 11:34:26] - Checking for HKLM\...\Winlogon\Notify\tussr [02/29/2008, 11:34:26] - Key not found: HKLM\...\Winlogon\Notify\tussr, continuing. [02/29/2008, 11:34:26] - BHO 4: {45C2A50F-8F4A-496E-AF02-D0207525BF5A} () [02/29/2008, 11:34:26] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/29/2008, 11:34:26] - Checking for HKLM\...\Winlogon\Notify\qomkhii [02/29/2008, 11:34:26] - Found: HKLM\...\Winlogon\Notify\qomkhii - This is probably Virtumundo. [02/29/2008, 11:34:26] - Assigning {45C2A50F-8F4A-496E-AF02-D0207525BF5A} MSEvents Object [02/29/2008, 11:34:26] - BHO list has been changed! Starting over... [02/29/2008, 11:34:26] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper) [02/29/2008, 11:34:26] - BHO 2: {0CA10898-7F98-4709-A479-B8134AB3D9F3} (Gamburg provider) [02/29/2008, 11:34:26] - BHO 3: {2C0AD99D-B8D2-47A0-95BE-B56E1253585E} () [02/29/2008, 11:34:26] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/29/2008, 11:34:26] - Checking for HKLM\...\Winlogon\Notify\tussr [02/29/2008, 11:34:26] - Key not found: HKLM\...\Winlogon\Notify\tussr, continuing. [02/29/2008, 11:34:26] - BHO 4: {45C2A50F-8F4A-496E-AF02-D0207525BF5A} (MSEvents Object) [02/29/2008, 11:34:26] - ALERT: Found MSEvents Object! [02/29/2008, 11:34:26] - BHO 5: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection) [02/29/2008, 11:34:26] - BHO 6: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class) [02/29/2008, 11:34:26] - BHO 7: {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} (EpsonToolBandKicker Class) [02/29/2008, 11:34:26] - Finished Searching Browser Helper Objects [02/29/2008, 11:34:26] - *** Detected MSEvents Object [02/29/2008, 11:34:26] - Trying to remove MSEvents Object... [02/29/2008, 11:34:27] - Terminating Process: IEXPLORE.EXE [02/29/2008, 11:34:27] - Terminating Process: RUNDLL32.EXE [02/29/2008, 11:34:27] - Disabling Automatic Shell Restart [02/29/2008, 11:34:27] - Terminating Process: EXPLORER.EXE [02/29/2008, 11:34:27] - Suspending the NT Session Manager System Service [02/29/2008, 11:34:27] - Terminating Windows NT Logon/Logoff Manager [02/29/2008, 11:34:28] - Re-enabling Automatic Shell Restart [02/29/2008, 11:34:28] - File to disable: C:\WINDOWS\system32\qomkhii.dll [02/29/2008, 11:34:28] - Removing HKLM\...\Browser Helper Objects\{45C2A50F-8F4A-496E-AF02-D0207525BF5A} [02/29/2008, 11:34:28] - Removing HKCR\CLSID\{45C2A50F-8F4A-496E-AF02-D0207525BF5A} [02/29/2008, 11:34:28] - Adding Kill Bit for ActiveX for GUID: {45C2A50F-8F4A-496E-AF02-D0207525BF5A} [02/29/2008, 11:34:28] - Deleting ATLEvents/MSEvents Registry entries [02/29/2008, 11:34:28] - Removing HKLM\...\Winlogon\Notify\qomkhii [02/29/2008, 11:34:28] - Searching for Browser Helper Objects: [02/29/2008, 11:34:28] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper) [02/29/2008, 11:34:28] - BHO 2: {0CA10898-7F98-4709-A479-B8134AB3D9F3} (Gamburg provider) [02/29/2008, 11:34:28] - BHO 3: {2C0AD99D-B8D2-47A0-95BE-B56E1253585E} () [02/29/2008, 11:34:28] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/29/2008, 11:34:28] - Checking for HKLM\...\Winlogon\Notify\tussr [02/29/2008, 11:34:28] - Key not found: HKLM\...\Winlogon\Notify\tussr, continuing. [02/29/2008, 11:34:28] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection) [02/29/2008, 11:34:28] - BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class) [02/29/2008, 11:34:28] - BHO 6: {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} (EpsonToolBandKicker Class) [02/29/2008, 11:34:28] - Finished Searching Browser Helper Objects [02/29/2008, 11:34:28] - Finishing up... [02/29/2008, 11:34:28] - A restart is needed. [02/29/2008, 11:34:28] - Automatic Reboot on STOP Error is not set. User will have to manually restart. [02/29/2008, 11:34:34] - Attempting to Restart via STOP error (Blue Screen!) [02/29/2008, 11:36:57] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Vias\Desktop\VirtumundoBeGone.exe" ) [02/29/2008, 11:37:02] - Detected System Information: [02/29/2008, 11:37:02] - Windows Version: 5.1.2600, Service Pack 2 [02/29/2008, 11:37:02] - Current Username: Vias (Admin) [02/29/2008, 11:37:02] - Windows is in SAFE mode with Networking. [02/29/2008, 11:37:02] - Searching for Browser Helper Objects: [02/29/2008, 11:37:02] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper) [02/29/2008, 11:37:02] - BHO 2: {0CA10898-7F98-4709-A479-B8134AB3D9F3} (Gamburg provider) [02/29/2008, 11:37:02] - BHO 3: {2C0AD99D-B8D2-47A0-95BE-B56E1253585E} () [02/29/2008, 11:37:02] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/29/2008, 11:37:02] - Checking for HKLM\...\Winlogon\Notify\tussr [02/29/2008, 11:37:02] - Key not found: HKLM\...\Winlogon\Notify\tussr, continuing. [02/29/2008, 11:37:02] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection) [02/29/2008, 11:37:02] - BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class) [02/29/2008, 11:37:02] - BHO 6: {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} (EpsonToolBandKicker Class) [02/29/2008, 11:37:02] - Finished Searching Browser Helper Objects [02/29/2008, 11:37:02] - Finishing up... [02/29/2008, 11:37:02] - Nothing found! Exiting... hoffentlich hast du noch was in petto, trotzdem danke für deine hilfe gruß |
Als erste Maßnahme bitte, wenn möglich, im abgesicherten Modus (ohne Netzwerkunterstüzung) VirtumundoBegone noch einmal laufen lassen. |
log ohne netzwerkunterstü. hier bitte: [02/29/2008, 11:34:16] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Vias\Desktop\VirtumundoBeGone.exe" ) [02/29/2008, 11:34:26] - Detected System Information: [02/29/2008, 11:34:26] - Windows Version: 5.1.2600, Service Pack 2 [02/29/2008, 11:34:26] - Current Username: Administrator (Admin) [02/29/2008, 11:34:26] - Windows is in SAFE mode with Networking. [02/29/2008, 11:34:26] - Searching for Browser Helper Objects: [02/29/2008, 11:34:26] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper) [02/29/2008, 11:34:26] - BHO 2: {0CA10898-7F98-4709-A479-B8134AB3D9F3} (Gamburg provider) [02/29/2008, 11:34:26] - BHO 3: {2C0AD99D-B8D2-47A0-95BE-B56E1253585E} () [02/29/2008, 11:34:26] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/29/2008, 11:34:26] - Checking for HKLM\...\Winlogon\Notify\tussr [02/29/2008, 11:34:26] - Key not found: HKLM\...\Winlogon\Notify\tussr, continuing. [02/29/2008, 11:34:26] - BHO 4: {45C2A50F-8F4A-496E-AF02-D0207525BF5A} () [02/29/2008, 11:34:26] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/29/2008, 11:34:26] - Checking for HKLM\...\Winlogon\Notify\qomkhii [02/29/2008, 11:34:26] - Found: HKLM\...\Winlogon\Notify\qomkhii - This is probably Virtumundo. [02/29/2008, 11:34:26] - Assigning {45C2A50F-8F4A-496E-AF02-D0207525BF5A} MSEvents Object [02/29/2008, 11:34:26] - BHO list has been changed! Starting over... [02/29/2008, 11:34:26] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper) [02/29/2008, 11:34:26] - BHO 2: {0CA10898-7F98-4709-A479-B8134AB3D9F3} (Gamburg provider) [02/29/2008, 11:34:26] - BHO 3: {2C0AD99D-B8D2-47A0-95BE-B56E1253585E} () [02/29/2008, 11:34:26] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/29/2008, 11:34:26] - Checking for HKLM\...\Winlogon\Notify\tussr [02/29/2008, 11:34:26] - Key not found: HKLM\...\Winlogon\Notify\tussr, continuing. [02/29/2008, 11:34:26] - BHO 4: {45C2A50F-8F4A-496E-AF02-D0207525BF5A} (MSEvents Object) [02/29/2008, 11:34:26] - ALERT: Found MSEvents Object! [02/29/2008, 11:34:26] - BHO 5: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection) [02/29/2008, 11:34:26] - BHO 6: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class) [02/29/2008, 11:34:26] - BHO 7: {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} (EpsonToolBandKicker Class) [02/29/2008, 11:34:26] - Finished Searching Browser Helper Objects [02/29/2008, 11:34:26] - *** Detected MSEvents Object [02/29/2008, 11:34:26] - Trying to remove MSEvents Object... [02/29/2008, 11:34:27] - Terminating Process: IEXPLORE.EXE [02/29/2008, 11:34:27] - Terminating Process: RUNDLL32.EXE [02/29/2008, 11:34:27] - Disabling Automatic Shell Restart [02/29/2008, 11:34:27] - Terminating Process: EXPLORER.EXE [02/29/2008, 11:34:27] - Suspending the NT Session Manager System Service [02/29/2008, 11:34:27] - Terminating Windows NT Logon/Logoff Manager [02/29/2008, 11:34:28] - Re-enabling Automatic Shell Restart [02/29/2008, 11:34:28] - File to disable: C:\WINDOWS\system32\qomkhii.dll [02/29/2008, 11:34:28] - Removing HKLM\...\Browser Helper Objects\{45C2A50F-8F4A-496E-AF02-D0207525BF5A} [02/29/2008, 11:34:28] - Removing HKCR\CLSID\{45C2A50F-8F4A-496E-AF02-D0207525BF5A} [02/29/2008, 11:34:28] - Adding Kill Bit for ActiveX for GUID: {45C2A50F-8F4A-496E-AF02-D0207525BF5A} [02/29/2008, 11:34:28] - Deleting ATLEvents/MSEvents Registry entries [02/29/2008, 11:34:28] - Removing HKLM\...\Winlogon\Notify\qomkhii [02/29/2008, 11:34:28] - Searching for Browser Helper Objects: [02/29/2008, 11:34:28] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper) [02/29/2008, 11:34:28] - BHO 2: {0CA10898-7F98-4709-A479-B8134AB3D9F3} (Gamburg provider) [02/29/2008, 11:34:28] - BHO 3: {2C0AD99D-B8D2-47A0-95BE-B56E1253585E} () [02/29/2008, 11:34:28] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/29/2008, 11:34:28] - Checking for HKLM\...\Winlogon\Notify\tussr [02/29/2008, 11:34:28] - Key not found: HKLM\...\Winlogon\Notify\tussr, continuing. [02/29/2008, 11:34:28] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection) [02/29/2008, 11:34:28] - BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class) [02/29/2008, 11:34:28] - BHO 6: {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} (EpsonToolBandKicker Class) [02/29/2008, 11:34:28] - Finished Searching Browser Helper Objects [02/29/2008, 11:34:28] - Finishing up... [02/29/2008, 11:34:28] - A restart is needed. [02/29/2008, 11:34:28] - Automatic Reboot on STOP Error is not set. User will have to manually restart. [02/29/2008, 11:34:34] - Attempting to Restart via STOP error (Blue Screen!) [02/29/2008, 11:36:57] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Vias\Desktop\VirtumundoBeGone.exe" ) [02/29/2008, 11:37:02] - Detected System Information: [02/29/2008, 11:37:02] - Windows Version: 5.1.2600, Service Pack 2 [02/29/2008, 11:37:02] - Current Username: Vias (Admin) [02/29/2008, 11:37:02] - Windows is in SAFE mode with Networking. [02/29/2008, 11:37:02] - Searching for Browser Helper Objects: [02/29/2008, 11:37:02] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper) [02/29/2008, 11:37:02] - BHO 2: {0CA10898-7F98-4709-A479-B8134AB3D9F3} (Gamburg provider) [02/29/2008, 11:37:02] - BHO 3: {2C0AD99D-B8D2-47A0-95BE-B56E1253585E} () [02/29/2008, 11:37:02] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/29/2008, 11:37:02] - Checking for HKLM\...\Winlogon\Notify\tussr [02/29/2008, 11:37:02] - Key not found: HKLM\...\Winlogon\Notify\tussr, continuing. [02/29/2008, 11:37:02] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection) [02/29/2008, 11:37:02] - BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class) [02/29/2008, 11:37:02] - BHO 6: {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} (EpsonToolBandKicker Class) [02/29/2008, 11:37:02] - Finished Searching Browser Helper Objects [02/29/2008, 11:37:02] - Finishing up... [02/29/2008, 11:37:02] - Nothing found! Exiting... [02/29/2008, 14:54:17] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Vias\Desktop\VirtumundoBeGone.exe" ) [02/29/2008, 14:54:21] - Detected System Information: [02/29/2008, 14:54:21] - Windows Version: 5.1.2600, Service Pack 2 [02/29/2008, 14:54:21] - Current Username: Vias (Admin) [02/29/2008, 14:54:21] - Windows is in SAFE mode with Networking. [02/29/2008, 14:54:21] - Searching for Browser Helper Objects: [02/29/2008, 14:54:21] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper) [02/29/2008, 14:54:21] - BHO 2: {0CA10898-7F98-4709-A479-B8134AB3D9F3} (Gamburg provider) [02/29/2008, 14:54:21] - BHO 3: {2C0AD99D-B8D2-47A0-95BE-B56E1253585E} () [02/29/2008, 14:54:21] - WARNING: BHO has no default name. Checking for Winlogon reference. [02/29/2008, 14:54:21] - Checking for HKLM\...\Winlogon\Notify\tussr [02/29/2008, 14:54:21] - Key not found: HKLM\...\Winlogon\Notify\tussr, continuing. [02/29/2008, 14:54:21] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection) [02/29/2008, 14:54:21] - BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class) [02/29/2008, 14:54:21] - BHO 6: {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} (EpsonToolBandKicker Class) [02/29/2008, 14:54:21] - Finished Searching Browser Helper Objects [02/29/2008, 14:54:21] - Finishing up... [02/29/2008, 14:54:21] - Nothing found! Exiting... |
Was sagt Dein Rechner nun, wenn Du ihn im normalen Modus startest? |
alles schwarz gleiches spiel, keine änderungen. was nun? |
Erstmal anders Start / Ausführen / "sfc /scannow" [enter] (ohne die "") Ein Popup wird kommen , dies lass durchlaufen und überprüfe das Verhalten dann noch mal. |
logs teil 1 habe ich gemacht das verhalten ist das gleiche alles schwarz. allerdings war ich zu schnell und habe die eingabeaufforderung erst nach dem scan mit dss gemacht. ich hoffe es ist nicht schlimm. hier die beiden logs die dabei rausgekommen sind. main: Code: Deckard's System Scanner v20071014.68 |
logs teil 2 extra Code: Deckard's System Scanner v20071014.68 |
logs teil 3 Code: -- Application Event Log ------------------------------------------------------- |
Hi, nur kurz was dazwischen, Virtumundo ist nicht das (ganze) Problem: @BataAlexander: Das sollte "gekillt" werden.... O2 - BHO: Gamburg provider - {0CA10898-7F98-4709-A479-B8134AB3D9F3} - klsock.dll (file missing) O2 - BHO: (no name) - {2C0AD99D-B8D2-47A0-95BE-B56E1253585E} - C:\WINDOWS\system32\tussr.dll (file missing) O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\msgina2.exe O4 - HKCU\..\Run: [JavaCore] C:\Programme\JavaCore\JavaCore.exe O23 - Service: Microsoft security update service (msupdate) - Unknown owner - C:\WINDOWS\system32\msvcrtd.exe WinSock per LSP-fix reparieren! O10 - Unknown file in Winsock LSP: C:\WINDOWS\system32\worsock.dll chris, auf dem Weg zur Autowerkstatt.... |
Nun mal ein ernstes Wort, die Kiste ist immer noch voll bis oben hin mit Schädlingen, diverese Backdoors etc. Ich sehe auch das Du einige P2P Software installiert hast und vermute das der Befall daher kommt. Sinn macht ein Reinigung unter den Umständen meiner Meinung nach nicht! Versuchen kann man es, damit Du z.B. ein vernünftiges Backuo machen kannst. Deine Entscheidung, wenn weiter, dann so Combofix - Download ComboFix von hier oder hier auf Deinen Desktop. - Mache einen Doppelklick auf combofix.exe - Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht. Edit: Das es hier mehr als einen Schädling geht haben alle beteiligten gemerkt :) Hallo Chris4You |
normaler modus, yeahh teil 1 dein ernstes wort ist angekommen, leider ist mein brenner kaputt und mir fehlt im moment das geld für eine externe festplatte die aber ganz oben auf der liste steht und dann mach ich den rechner platt... habe deine anweisungen befolgt. nach dem neustart hat er auch ganz normal gestartet. schon mal ein kleiner erfolg, danke. jetzt kommt aber immer noch die meldungen von antivir so das ich antivir wieder abschlaten muss um weiter zu machen. nun die logs: combofix Code: ComboFix 08-02-25.3 - Vias 2008-02-29 16:30:16.1 - FAT32x86 NETWORK |
teil 2 highjack Code: Logfile of HijackThis v1.99.1wie siehts jetzt aus? schlimm? gruß |
teil 3 outlook funktioniert nicht da ich wieder im normalen modus bin dachte ich mir ich kann gleich mal meine mails checken aber wenn ich auf senden und empfangen gehe passiert nichts. wenn ich meine konten bei extras--> konten überprüfen will kommt folgende fehlermeldung: ... konnte nicht ausgeführt werden wegen eines regestrierungs- und installationsproblems.... kann mir schon denken das das mit dem scheiß den ich gebaut habe zutun hat aber bekomme ich das wieder hin? und ist noch mehr beschädigt? fragen über fragen... sorry das ich so ein dummer junge bin |
1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Quotebox in das Notepad Fenster ein. Code: FILE::4. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 5. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt 6. Nachdem das Log im Notepad aufgegangen ist, wird ein Fenster aufpoppen (Submit files for further analysis), dieses Fenster mit OK wegklicken, die Webseite dann aber schließen, das Formular nicht ausfüllen. Auf Deinem Desktop ist eine neue .Zip Datei vorhanden ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip). Diese Datei auf dem Desktop an http://img222.imageshack.us/img222/199/emaillb0.th.jpg mailen. Dann das Archiv und die CF-Submit.htm löschen und den Papierkorb leeren. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann |
ein wenig verwirrt hab ich gemacht hier das log: Code: ComboFix 08-02-25.3 - Vias 2008-02-29 18:47:54.2 - FAT32x86was meinst du mit archiv? und ist mit cf-submit.htm die zip-datei gemeint? hab jetzt noch nichts gelöscht. warte mal lieber auf antwort. gruß ps. kein piepsen mehr, yeahh - outlook geht aber immer noch nicht richtig. |
Das Log sieht sauber aus. :) Die Datei die Du nun auf dem Desktop hast, die hätte ich gern auf die eMail Adresse, die in der Grafik angegeben ist. Nach dem Senden, kannst Du die Dateien löschen und Du solltest noch einen Scan mit Deinem SuperAntispyware hinlegen. |
mail ist raus die mail ist vor 2 stunden raus. es kann sein, das ich in deinem spam-ordner lande, das passiert mir häufiger. superantispy ist durch, hat nichts gefunden. aber antivir hat sich wieder gemeldet und zwar mit folgenden fund: TR/Dldr.Agent.22016.4 bei C:\Windows\b138.exe~ können wir mein outlook auch noch fixen oder muss ich es neu installieren? sind evtl. noch andere sachen kaputt gegangen? und ich dachte jetzt ist alles gut. was nun? gruß |
Vernachlässigen wir das eMail Problem mal, ich hab noch nichts bekommen. Welche Probleme / Fehlermeldung produziert Outlook und welche Version ist es (Updates eingespielt?). GMER - Rootkit Detection * Lade Gmer von hier * entpacke es auf den Dektop * Dopperlklicke die gmer.exe * Der Reiter Rootkit oben ist schon angewählt * Entferne die Häckchen rechts bei -System, -Section, -IAT/EAT, -Devices, -Module, -Processes, -Threads, -Libraries http://img167.imageshack.us/img167/495/gmerzj1oo1.jpg * Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern * nach Beendigung des Scan, drücke "Copy" * nun kannst Du das Ergebnis hier posten * Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden. Hilft bei der b138.exe~ ein verschieben mit antivir in die Quarantäne? |
keine neuen ergebnisse Liste der Anhänge anzeigen (Anzahl: 3) guten morgen, habe mal nachgeschaut, die mail ist wieder zurück gekommen weil gmx ein virus entdeckt hat. yahoo will die datei auch nicht anhängen wegen viren und ich bekomm sogar den ratschlag ich solle meinen rechner prüfen, haha! was ist den mit dem ikon, ich habe die datei gestern dort doch hochgeladen und dir den code geschickt. kannst du sie von dort nicht ziehen? senden und empfangen geht nicht und wenn ich meine konten checken will produziert er angehängte fehlermeldung. wenn ich eine neue mail schreiben will kommt ebenfalls eine fehlermeldung was ja logisch ist. outlook 2003, updates sind wohl nicht eingeschaltet denke ich bin mir aber nicht sicher. habe dir drei screens gemacht. einmal die outlook fehlermeldungen wenn ich auf extras-->konten gehe, sowie mail verfassen und einmal den quarantäneordner von antivir. als die fehlermeldung gestern kam hab ich sie weggedrückt und als ich den rechner heut morgen hoch gefahren hab, kam keine was ja nichts heißen mag. gmer scan hat nichts gefunden. und nun? gruß |
Zitat:
Das gmer nichts gefunden hat ist erstmal als gut zu werten. Dein Outlook Problem Zum einen ist hier ein Lösungsansatz, der Dein Problem vielleicht nicht ganz trifft. Zum anderen solltest Du alle verfügbaren Office Updates installieren. Wenn dannach immer noch die beschriebenen Probleme auftauchen, kannst Du über Start / Einstellungen / Systemsteuerung / Software eine Reperaturinstallation durchführen. Der letzte Fund der in die Quarantäne gewandert ist, stammt von 9:00 Uhr, anscheinend hast Du den letzten Fund direkt gelöscht, was nicht schlimm ist. Stelle Antivir ein, wie hier beschrieben, Update es und führe einen Systemscan durch. Das Ergebnis bitte hier posten. Dann solltest Du alle Passwörter ändern, die Du auf dem System benutzt hast. Dein Gast ist dafür ausgelegt, diese mitzulesen und dritten zu übermitteln. |
antivir report so das hat alles ein wenig gedauert. hier meine ergebnisse: für office habe ich mit dem sp3 ein update durchgeführt. keine änderungen dann habe ich die reperatur durchgeführt. war auch erfolgreich, angeblich: keine änderungen, fehler sind immer noch da. hast du noch vorschläge oder muss ich es neu installieren, wenn ja sind wohl alle meine daten weg. ich hatte früher mal ein programm benutzt welches alle persönlichen daten extrahieren konnte outback5 hieß das, aber das war nur eine testversion die ich jetzt leider nicht mehr benutzen kann. kennst du ein ähnliches programm oder hast du eine idee wie ich meine ganzen daten und einstellungen retten kann? den code hatte ich dir tatsächlich geschrieben, gestern um 19.07 uhr. hier nochmal: 80112083953028 antivir hatte ne menge zu meckern (habe vorher natürlich meine einstellungen nach deiner anweisung geändert) alle meldungen habe ich in die quarantäne verschoben. was mach ich nun mit denen? hier der report: Code: |
Sorry, aber wenn ich das lese Zitat:
|
ob es daran liegt? das programm habe ich aber seit monaten nicht mehr benutzt und vorher 3 jahre ohne probleme benutzt. ich machs ja weg wenn du mir das empfiehlst. ich will ja nicht frech werden aber benutzen wir nicht alle mal hin und wieder gecrackte programme... leider habe ich nicht so viel ahnung und hätte es damals vielleicht erkennen sollen das was damit nicht stimmt aber wenn es funktioniert... ich fände es schade wenn du mich an dieser stelle verlässt, hilf mir doch lieber mich auf meine fehler aufmerksam zu machen. sollte es das gewesen sein, dann bedanke ich mich trotzdem für deine tolle unterstützung. hast mir sehr geholfen. |
noch viren hallo zusammen, hat vielleicht jemand eine andere einstellung und möchte mir helfen? Gruß |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board