|
Virtumonde Katastrophe brauche Hilfe!!! Hallo, bin total verzweifelt, kämpfe wie viele andere auch seit circa einer Woche mit Virtumonde und wer weiß, was sonst noch so drauf ist auf dem Rechner. Lösche virtumonde immer wieder mit spybot, aber der ist echt hartnäckig. GData hat ihn einmal erkannt und dann nie wieder. VundoFix findet übrigens auch nix. Aber er ist immer noch da. Vielleicht kann ich ihn ja manuell löschen. Meine CPU-Auslastung ist übrigens konstant auf 100 %, seitdem ich virtumonde drauf habe. Anbei schicke ich mein logfile und würde mich ganz doll freuen, wenn mit jemand hilft das zu analysieren!!! Vielen, vielen Dank schon mal im Voraus. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:59:02, on 12.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\G DATA AntiVirus\AVK\AVKService.exe C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\E_S00RP1.EXE C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Launch Manager\OSD.exe C:\Programme\Launch Manager\Wbutton.exe C:\Programme\Launch Manager\LaunchAp.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com O2 - BHO: (no name) - {0076C234-2AE1-43E0-BE7F-12C145C36700} - (no file) O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA AntiVirus\Webfilter\AVKWebIE.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {0B9620A2-D419-4CB5-84A4-E1F62D79FFAA} - (no file) O2 - BHO: {df83fb18-39b4-c25b-8cb4-83fb4828de64} - {46ed8284-bf38-4bc8-b52c-4b9381bf38fd} - (no file) O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA AntiVirus\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe" O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSD.exe" O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe" O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe" O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {DAA3903C-AC88-4D16-B050-F21EB1F79BE6} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126091180221 O20 - Winlogon Notify: rqRJApQK - rqRJApQK.dll (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKService.exe O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O24 - Desktop Component 0: (no name) - h**p://w*w.kochmix.de/images/bg.gif -- End of file - 6564 bytes |
hi kiraagnes und :hallo: lasse Malwarebytes Antimalware scannen, funde löschen, log hier posten. ===== Lade Combofix von einem der folgenden Download-Spiegel herunter: BleepingComputer.com - ForoSpyware.com - GeeksTogo.com und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig! Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird. Vorbereitung und wichtige Hinweise
Bitte Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen! gruß schrauber |
Hi Schrauber, vielen Dank schon mal für deine Antwort! Bin gerade dabei deinen Anweisungen step by step zu folgen, allerdings tauchte da gerade noch eine Frage auf: Beim Installieren der Wiederherstellungskonsole bin ich dem Microsoft Link gefolgt (habe die XP CD nur als Medion Application und Support Disc vorhanden und damit funktionierts nicht), aber war mir Nr.1 nicht sicher welchen Download du meinst, etwa "Herunterladen der Programmdatei für die Startdisketten" und wenn ja, für XP Home mit Service Pack 3 gibt es da gar keine Option, nur SP 2. Was soll ich denn jetzt tun! Vielen Dank für deine Unterstützung von der "Ich checke-nix-Frau" ;) |
jepp, die startdisketten, nimm SP2, mach aber zuerst malwarebytes, und ganz wichtig die funde löschen lassen :). gruß schrauber |
Merci! Malwarebytes hat schon 10 Funde gehabt, log Datei ist auch gespeichert. Hab allerdings schon wieder ne Zwischenfrage: Wollte die Microsoft -Datei, wie beschrieben, auf das Combo-Fix Piktogramm ziehen, die sich dann angeblich von selbst installiert, wenn ich aber versuche sie mit der Maus draufzuziehen, öffnet sich ein Fenster, das Combo-Fix ausführen will. Bin natürlich erstmal auf abbrechen, soweit bin ich ja noch nicht. Habe die Microsoft-Datei auf dem Desktop gespeichert aber nicht ausgeführt, muss ich das vorher noch machen? (Also bevor ich sie auf das Piktogramm ziehe?) Ich hoffe, das war irgendwie verständlich... |
zieh die ms-datei auf combofix, damit startet sich combofix von selbst, das ist so gewollt! ab dann finger weg von maus und tastatur bis combofix fertig ist. vorher alle av-progs beenden. gruß schrauber |
Wird gemacht! PS:Nett, dass mich ein Saarländer unterstützt! Melde mich dann sobald alles soweit ist. |
das seh ich jetzt erst dass du aus dem saarland kommst :D dann können wir ja ab jetzt auf platt schreiben, dann bekommt auch keiner der mitleser mehr was mit ;) |
Ei jooo, han mich gleisch solidarisiert, als ich gesiehn han, dass du aus em "schenschte Bundesland der Welt kommscht". - Das war Saarländisch, oder so, saarländische Rechtschreibung beherrsche ich leider nicht! Ich glaube, spannend spannend, die Logdatei liegt bald vor... Grüßle, die Babsi |
Anbei der Roman... Ich hoffe, du kannst was mit anfangen, ich nämlich nicht! Aber bin dir auf jeden Fall schon mal super dankbar für deine Mühe!!! 1.)Log-Datei von Combo-Fix: 2.) Malwarbytes log-Datei ComboFix 08-09-10.04 - *** 2008-09-12 17:32:13.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.501 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\***\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\lUEOnUvw.ini C:\WINDOWS\system32\lUEOnUvw.ini2 C:\WINDOWS\system32\MSINET.oca . ((((((((((((((((((((((( Dateien erstellt von 2008-08-12 bis 2008-09-12 )))))))))))))))))))))))))))))) . 2008-09-12 14:39 . 2008-09-12 14:40 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-09-12 14:39 . 2008-09-12 14:39 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes 2008-09-12 14:39 . 2008-09-12 14:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-12 14:39 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-12 14:39 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-12 12:13 . 2008-09-12 12:13 <DIR> d-------- C:\VundoFix Backups 2008-09-10 11:22 . 2006-02-28 13:00 73,728 --a------ C:\WINDOWS\system32\tasklist.exe 2008-09-10 11:02 . 2008-09-10 11:02 <DIR> d-------- C:\Programme\CCleaner 2008-09-08 20:49 . 2008-09-08 20:49 <DIR> d-------- C:\Programme\Trend Micro 2008-09-05 11:52 . 2008-09-05 11:52 <DIR> d-------- C:\WINDOWS\system32\de-de 2008-09-05 11:52 . 2008-09-05 11:52 <DIR> d-------- C:\WINDOWS\system32\de 2008-09-05 11:52 . 2008-09-05 11:52 <DIR> d-------- C:\WINDOWS\system32\bits 2008-09-05 11:52 . 2008-09-05 11:52 <DIR> d-------- C:\WINDOWS\l2schemas 2008-09-05 11:42 . 2008-09-05 11:53 <DIR> d-------- C:\WINDOWS\ServicePackFiles 2008-09-05 10:26 . 2008-09-05 10:26 <DIR> d-------- C:\WINDOWS\EHome 2008-09-05 08:51 . 2004-08-03 22:29 25,471 --------- C:\WINDOWS\system32\drivers\watv10nt.sys 2008-09-05 08:51 . 2004-08-03 22:29 22,271 --------- C:\WINDOWS\system32\drivers\watv06nt.sys 2008-09-05 08:51 . 2004-08-03 22:29 11,935 --------- C:\WINDOWS\system32\drivers\wadv11nt.sys 2008-09-05 08:51 . 2004-08-03 22:29 11,871 --------- C:\WINDOWS\system32\drivers\wadv09nt.sys 2008-09-05 08:51 . 2004-08-03 22:29 11,807 --------- C:\WINDOWS\system32\drivers\wadv07nt.sys 2008-09-05 08:51 . 2004-08-03 22:29 11,295 --------- C:\WINDOWS\system32\drivers\wadv08nt.sys 2008-09-05 08:45 . 2004-08-04 00:38 327,168 --------- C:\WINDOWS\system32\drivers\ati2mtaa.sys 2008-09-02 09:28 . 2008-09-08 17:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA 2008-09-02 09:28 . 2008-09-02 09:28 46,536 --a------ C:\WINDOWS\system32\drivers\MiniIcpt.sys 2008-09-02 09:28 . 2008-09-02 09:28 41,928 --a------ C:\WINDOWS\system32\drivers\GDTdiIcpt.sys 2008-09-02 09:28 . 2008-09-02 09:28 32,200 --a------ C:\WINDOWS\system32\drivers\HookCentre.sys 2008-09-02 09:26 . 2008-09-02 09:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\G DATA 2008-09-02 09:26 . 2008-09-02 09:26 <DIR> d-------- C:\Programme\G DATA AntiVirus 2008-09-02 09:26 . 2008-09-02 09:26 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\InstallShield 2008-08-30 13:02 . 2008-08-30 13:02 3,266 --a------ C:\WINDOWS\system32\tmp.reg 2008-08-30 13:00 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-08-30 13:00 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-08-30 13:00 . 2008-08-26 20:19 88,576 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe 2008-08-30 13:00 . 2008-08-27 15:17 87,040 --a------ C:\WINDOWS\system32\VACFix.exe 2008-08-30 13:00 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-08-30 13:00 . 2008-08-28 22:36 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe 2008-08-30 13:00 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe 2008-08-30 13:00 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-08-30 13:00 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-08-30 13:00 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-08-29 10:34 . 2008-08-29 10:34 <DIR> d-------- C:\Temp\dax41 2008-08-29 10:34 . 2008-08-29 13:08 <DIR> d-------- C:\Temp 2008-08-15 17:56 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-12 09:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-09-12 09:22 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-09-10 12:09 31,662 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\wklnhst.dat 2008-09-10 10:26 --------- d-----w C:\Programme\Google 2008-09-02 07:26 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-07-22 17:03 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Cabos 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll 2008-06-23 15:10 671,744 ----a-w C:\WINDOWS\system32\wininet.dll 2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 11:56 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2007-07-13 10:21 96,608 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2005-09-07 15:59 8 -csh--r C:\WINDOWS\system32\31961103D8.sys 2006-10-26 20:30 56 --sh--r C:\WINDOWS\system32\E80E40A99B.sys 2006-10-26 20:30 5,642 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-08-25 737369] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-31 57344] "CtrlVol"="C:\Programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480] "LMgrOSD"="C:\Programme\Launch Manager\OSD.exe" [2005-03-16 204800] "Wbutton"="C:\Programme\Launch Manager\Wbutton.exe" [2005-09-02 81920] "LaunchAp"="C:\Programme\Launch Manager\LaunchAp.exe" [2005-07-25 32768] "HotkeyApp"="C:\Programme\Launch Manager\HotkeyApp.exe" [2005-08-17 61440] "AVKTray"="C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe" [2008-05-20 686152] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATSwpNav] C:\Programme\Fingerprint Sensor\ATSwpNav -run [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ALDI_NORD_FotoSuite] --a------ 2005-06-20 11:38 290816 C:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AzMixerSel] --a------ 2005-06-11 19:51 53248 C:\Programme\Realtek\InstallShield\AzMixerSel.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --------- 2008-04-14 04:22 1695232 C:\Programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2005-09-07 15:58 98304 C:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG] --------- 2006-11-03 10:56 204288 C:\Programme\Windows Media Player\wmpnscfg.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG] --a------ 2005-05-11 13:12 88204 C:\WINDOWS\AGRSMMSG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut] --a------ 2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] --a------ 2005-08-18 07:20 14820864 C:\WINDOWS\RTHDCPL.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "InoTask"=2 (0x2) "InoRT"=2 (0x2) "InoRPC"=2 (0x2) "WMPNetworkSvc"=2 (0x2) "RichVideo"=2 (0x2) "Diskeeper"=2 (0x2) "CyberLink Media Library Service"=2 (0x2) "CLSched"=2 (0x2) "CLCapSvc"=2 (0x2) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background "WMPNSCFG"=C:\Programme\Windows Media Player\WMPNSCFG.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "FreePDF Assistant"=C:\Programme\FreePDF_XP\fpassist.exe "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 "Microsoft Works Update Detection"=C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe "MSPY2002"=C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC "RemoteControl"="C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "EPSON Stylus DX4200 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200" "PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" "HotkeyApp"="C:\Programme\Launch Manager\HotkeyApp.exe" "LaunchAp"="C:\Programme\Launch Manager\LaunchAp.exe" "ATSwpNav"="C:\Programme\Fingerprint Sensor\ATSwpNav" -run [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%ProgramFiles%\\Messenger\\msmsgs.exe"= "%ProgramFiles%\\MSN Messenger\\msnmsgr.exe"= "%ProgramFiles%\\Microsoft Games\\Flight Simulator 9\\fs9.exe"= "%ProgramFiles%\\AOL 9.0\\AOL.exe"= "%ProgramFiles%\\AOL 9.0\\WAOL.exe"= "%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"= "%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"= "%WinDir%\\system32\\fxsclnt.exe"= "%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"= "%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"= "%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"= "%ProgramFiles%\\WIDCOMM\\Bluetooth Software\\BTTray.exe"= "C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"= "C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"= "C:\\Programme\\Real\\RealPlayer\\realplay.exe"= "C:\\Programme\\Anno 1701\\Anno1701.exe"= "C:\\Programme\\FreePDF_XP\\freepdf.exe"= "C:\\Programme\\ALDI Foto Service Nord\\ALDI_Foto_Manager\\FotoManager.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\\WINDOWS\\system32\\java.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26982:TCP"= 26982:TCP:Azureus "1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015 "1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016 "500:UDP"= 500:UDP:@xpsp2res.dll,-22017 R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 9867] R2 AVKProxy;G DATA AntiVirus Proxy;C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe [2008-02-19 718408] R2 AVKService;G DATA Scheduler;C:\Programme\G DATA AntiVirus\AVK\AVKService.exe [2008-02-07 427592] R2 AVKWCtl;AntiVirus Wächter;C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe [2008-02-05 1127816] R2 GDTdiInterceptor;GDTdiInterceptor;C:\WINDOWS\system32\drivers\GDTdiIcpt.sys [2008-09-02 41928] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336] R3 GDMnIcpt;GDMnIcpt;C:\WINDOWS\system32\drivers\MiniIcpt.sys [2008-09-02 46536] R3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2008-09-02 32200] S1 M9207;ULi M9207 USB DVB-T / TV BOX;C:\WINDOWS\system32\DRIVERS\M9207BDA.sys [ ] S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys [ ] S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-06-08 799744] S3 ULiM9205;TVBOX service;C:\WINDOWS\system32\Drivers\M9205.sys [ ] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{71ed4c93-1fad-11da-870b-00038a000015}] \Shell\AutoRun\command - appsetup.exe . Inhalt des "geplante Tasks" Ordners . - - - - Entfernte verwaiste Registrierungseintr„ge - - - - BHO-{0076C234-2AE1-43E0-BE7F-12C145C36700} - (no file) BHO-{0B9620A2-D419-4CB5-84A4-E1F62D79FFAA} - (no file) BHO-{46ed8284-bf38-4bc8-b52c-4b9381bf38fd} - (no file) ShellExecuteHooks-{0076C234-2AE1-43E0-BE7F-12C145C36700} - (no file) Notify-rqRJApQK - rqRJApQK.dll MSConfigStartUp-AOLDialer - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe MSConfigStartUp-AOLMIcon - C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe MSConfigStartUp-BM2f7eab4f - C:\WINDOWS\system32\gwpiupqa.dll . ------- Zus„tzlicher Scan ------- . R0 -: HKCU-Main,Start Page = hxxp://www.aol.de/ R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s O8 -: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-12 17:38:35 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\E_S00RP1.EXE C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-09-12 17:46:06 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-09-12 15:45:45 Pre-Run: 29 Verzeichnis(se), 13,942,706,176 Bytes frei Post-Run: 33 Verzeichnis(se), 13,873,856,512 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect 248 --- E O F --- 2008-09-10 09:12:34 2.) Log-Datei Malewarebytes Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1141 Windows 5.1.2600 Service Pack 3 12.09.2008 16:03:17 mbam-log-2008-09-12 (16-03-10).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 43434 Laufzeit: 7 minute(s), 13 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 6 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\WINDOWS\system32\wTR02 (Trojan.Agent) -> No action taken. Infizierte Dateien: C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> No action taken. C:\WINDOWS\BM2f7eab4f.xml (Trojan.Vundo) -> No action taken. C:\WINDOWS\BM2f7eab4f.txt (Trojan.Vundo) -> No action taken. |
Zitat:
"mbam laufen lassen,funde löschen lassen...." und zum zwanzigsten mal muss ich nachhaken, weil die funde nicht gelöscht wurden :D also mbam updaten, nochmal laufen lassen, funde löschen lassen. ==== Kaspersky Online Scan Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Java muss aktiv sein. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss Java installiert und aktiv/erlaubt sein. Bebilderte Anleitung von sundavis. Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick. Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
Zitat:
gruß schrauber P.S. woher aus dem saarland ? |
Alles klar, werde ich tun! Dauert allerdings nen Weilchen... werde solange mal mit dem Hund Gassi gehen, kann ich nach dem Computer-Gedöns auch mal gut gebrauchen. PS: Aus Sankt Ingbert (Stingbert oder Deengmart) :) |
..möchte hier! keinen Miesepeter abgeben, aber das sieht nicht Gut! aus. Ich würde formatieren. |
@DJINNI Zitat:
Zitat:
|
..och nö! Wirklich!? Lasse jetzt gerade den Kaspersky-Scanner drüber laufen. Vielleicht gibt es ja noch Hoffnung... GData hat, vor dem Scannen, virtumonde übrigens gebklockt! Zum ersten Mal! Malwarebytes hat erstmal nix gefunden. Wenn Kaspersky fertig ist, sage ich Bescheid! Sollte ich vielleicht ganz zu Kaspersky wechseln, bin zur Zeit etwas unzufrieden mit Gdata! PS: Bin gegen Neuaufsetzen, weil ich mir nicht sicher bin, ob ich noch die XP-CD von Medion habe - word etc. konnte ich auf der Application und Support Disc nämlich nicht finden. Und wenn man den PC kauft, is ja immer alles schon vorinstalliert! LG. Barbara |
Endlich....also Kaspersky hat nix gefunden! Soll ich sonst noch irgendwas scannen, löschen??? Werde mich allerdings morgen wieder "motiviert" dem Thema widmen. Vielen vielen Dank schon mal bis dahin Schrauber! Ich wünsche einen geruhsamen Abend. Grüßle, Barbara |
Infizierte Registrierungsschlüssel: 6 Infizierte Verzeichnisse: C:\WINDOWS\system32\wTR02 (Trojan.Agent) -> No action taken. Infizierte Dateien: C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> No action taken. C:\WINDOWS\BM2f7eab4f.xml (Trojan.Vundo) -> No action taken. C:\WINDOWS\BM2f7eab4f.txt (Trojan.Vundo) -> No action taken. |
@kiraagnes hast du die funde bei mbam löschen lassen? wenn nicht bitte das prog updaten und nochmal laufen lassen, log posten. === diesen onlinescan machen, log posten. F-Secure Support-Seiten: F-Secure Online-Virenscanner === neues hijackthis-log posten @DJINNI und was sagen uns diese von dir geposteten zeilen? ich wollte kleine auflistung der auf diesem rechner nicht mehr vorhandenen malware, sondern eine argumentation, warum hier nur formatieren richtig wäre.... |
..warum? bist du dir eigentlich so sicher das sie entfernt wurde.. |
Zitat:
|
Ich hab mir auch son Virtumonde eingefangen ... also muss ich jetzt auch das alles machen was kiraagnes macht wa? |
eroeffne ein neues Thema und poste ein hjt-log |
Hallo Schrauber, bin auch wieder online, hab gestern mal ne Computer-Auszeit gebraucht und widme mich an diesem "heiligen Sonntag" wieder dem Problem. Lasse jetzt nochmal einen kompletten Scan mit mbam durchlaufen und poste ihn dann. F-Secure Scan mache ich dann auch noch! Bis später, Babsi :D |
Hallo Schrauber, hier noch mal das logfile von mbam. Bisher hat es nix gefunden. Jetzt lasse ich F-Secure noch scannen. Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1147 Windows 5.1.2600 Service Pack 3 14.09.2008 14:07:39 mbam-log-2008-09-14 (14-07-39).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 180927 Laufzeit: 2 hour(s), 4 minute(s), 9 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Hat ne Ewigkeit gedauert, aber mittlerweile liegt auch der Scan von F-Secure vor: Scanning Report Sunday, September 14, 2008 14:17:05 - 18:33:51 Computer name: *** Scanning type: Scan system for malware, rootkits Target: C:\ D:\ E:\ -------------------------------------------------------------------------------- Result: 6 malware found Rogue:W32/IeDefender.CT (spyware) System TrackingCookie.2o7 (spyware) System TrackingCookie.Adtech (spyware) System TrackingCookie.Advertising (spyware) System TrackingCookie.Atdmt (spyware) System TrackingCookie.Webtrends (spyware) System -------------------------------------------------------------------------------- Statistics Scanned: Files: 71442 System: 5166 Not scanned: 8 Actions: Disinfected: 0 Renamed: 0 Deleted: 0 None: 6 Submitted: 0 Files not scanned: C:\HIBERFIL.SYS C:\PAGEFILE.SYS C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT C:\WINDOWS\SYSTEM32\CONFIG\SAM C:\WINDOWS\SYSTEM32\CONFIG\SECURITY C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\MUVEE TECHNOLOGIES\030625\0237\0192\VALUES -------------------------------------------------------------------------------- Options Scanning engines: F-Secure USS: 2.30.0 F-Secure Hydra: 2.8.8110, 2008-09-13 F-Secure AVP: 7.0.171, 2008-09-14 F-Secure Pegasus: 1.20.0, 2008-08-09 F-Secure Blacklight: 2.2.1092 Scanning options: Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR Use Advanced heuristics Und hier noch das Hyjackthis-log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:35:59, on 14.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\G DATA AntiVirus\AVK\AVKService.exe C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\E_S00RP1.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Launch Manager\OSD.exe C:\Programme\Launch Manager\Wbutton.exe C:\Programme\Launch Manager\LaunchAp.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\internet explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA AntiVirus\Webfilter\AVKWebIE.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA AntiVirus\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe" O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSD.exe" O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe" O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe" O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {DAA3903C-AC88-4D16-B050-F21EB1F79BE6} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126091180221 O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKService.exe O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O24 - Desktop Component 0: (no name) - http://www.kochmix.de/images/bg.gif -- End of file - 6247 bytes So, die übliche Frage, was soll ich jetzt machen - ist fast schon wie ne Telenovela - Fortsetzung folgt... ;) |
Tool-Bereinigung mit OTMoveIt2 Bitte lade Dir OTMoveIt von OldTimer herunter.
=== Systemwiederherstellung deaktivieren und wieder aktivieren:
=== fixe mit hijackthis: Code: O9 - Extra button: MedionShop - {DAA3903C-AC88-4D16-B050-F21EB1F79BE6} - http://www.medionshop.de/ (file missing) (HKCU)unn jetzt.....festhalten.....du bist clean :daumenhoc :D |
...alles kapiert bis auf: "Fixe mit hijackthis"...Code etc. - sorry, was soll ich da genau machen?? Kannste mir das nochmal für Anfänger beschreiben? Alles andere wird gerade ausgeführt! Merci!!! |
ahhh ich glaub ich habs doch kapiert! Das was da im Code steht soll ich auf gut deutsch in hijackthis löschen?! Oder? |
upsiee :D jepp, starte hijackthis, klicke do a system scan only und setze einen haken vor alle einträge aus der obigen box, schliesse alle offenen fenster und klicke auf fix checked :D |
Hallo Schrauber, verstanden! Vielen vielen Dank für Deine Hilfe und Geduld, hätte echt nicht gewusst, was ich ohne dich gemacht hätte! Also, hoffen wir das Beste und dass mein Computer ab jetzt clean bleibt! Liebe Grüße, Barbara :party: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board