Trojaner-Board - ich habe ein virus/bzw trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - ich habe ein virus/bzw trojaner (https://www.trojaner-board.de/75205-habe-virus-bzw-trojaner.html)

das untere ist das 1. das obere der 2 teil.

wie muss ich jetzt weiter machen?

1.) Deinstalliere (falls möglich):

Spybot
Bonjour

2.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

Driver::
 
 

NetSvc::
 

Registry::

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{EEE6C35D-6118-11DC-9C72-001320C79847}"=-

"{937f343c-c9c2-4235-b544-7fc4da2f2594}"=-

[-HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]

[-HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURL SearchHook.1]

[-HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]

[-HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURL SearchHook]

[-HKEY_CLASSES_ROOT\clsid\{937f343c-c9c2-4235-b544-7fc4da2f2594}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{937f343c-c9c2-4235-b544-7fc4da2f2594}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-

"{937f343c-c9c2-4235-b544-7fc4da2f2594}"=-

[-HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]

[-HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]

[-HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]

[-HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]

[-HKEY_CLASSES_ROOT\clsid\{937f343c-c9c2-4235-b544-7fc4da2f2594}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{EEE6C35B-6118-11DC-9C72-001320C79847}"=-

"{937F343C-C9C2-4235-B544-7FC4DA2F2594}"=-

[-HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]

[-HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]

[-HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]

[-HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]

[-HKEY_CLASSES_ROOT\clsid\{937f343c-c9c2-4235-b544-7fc4da2f2594}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"=-

"HP Software Update"=-

"Adobe Reader Speed Launcher"=-

"winupd"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=-

[-HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]

backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]

ConsentPromptBehaviorAdmin =-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QUAD Registry Cleaner]

[-HKEY_LOCAL_MACHINE\SOFTWARE\QUAD Registry Cleaner v2]
 

File::

c:\programme\Firefox_Setup_3.5.exe

c:\programme\install_icq65.exe

c:\windows\_MSRSTRT.EXE
 

Folder::

c:\Programme\Bonjour

c:\programme\QUAD Utilities

C:\rsit

c:\programme\Spybot - Search & Destroy

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
 

DirLook::

C:\$WIN_NT$.~BT
 

FileLook::

c:\dokumente und einstellungen\All Users\Anwendungsdaten\hpeF0.dll

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

mein problem ist ich aknn es kopieren aber bei editor wenn ich einfügen will geht nicht.

ich versuche es muss dann jetzt aber auch arbeiten..mache das moregn weiter..gegen 10 uhr morges bis hier hin herzliches danke schön

Bitte, bin erst morgen abend wieder on.

ciao, andreas

also wenn ich einfügen wlll ist das feld weiß . wo einfügen steht.

Du markierst den kompletten Text in der Box, drückst [Strg]c, dann öffnest du den Editor und drückst [Strg]v.

ciao, andreas

Das geht auch nicht.

1.) Start => Ausführen => combofix /u => OK

2.) Speichere die Datei im Anhang auf deinen Desktop, führe eine Doppelklick darauf aus und klicke auf Ja.

3.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Files to delete:

c:\programme\Firefox_Setup_3.5.exe

c:\programme\install_icq65.exe

c:\windows\_MSRSTRT.EXE
 

Folders to delete:

c:\Programme\Bonjour

c:\programme\QUAD Utilities

C:\rsit

c:\programme\Spybot - Search & Destroy

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Wie soll ich das den einfügen das geht noch nicht.Das 1 geht auch nicht da hat der combofix deinsterleirt und ja ich kann den text nicht da rein macehn

Zitat:

Wie soll ich das den einfügen das geht noch nicht.

Wenn man es richtig macht, dann schon. :daumenhoc

Zitat:

Das 1 geht auch nicht da hat der combofix deinsterleirt

Das war auch Absicht, ComboFix brauchen wir nicht mehr.

Zitat:

ja ich kann den text nicht da rein macehn

Doch. Halte dich Punkt für Punkt an diese Anleitung:

1. Lade dir das Tool Hopsassa und speichere es auf dem Desktop.

2. Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

3. Markiere den kompletten Text in der Box, es muss alles blau sein.

Code:

Files to delete:

c:\programme\Firefox_Setup_3.5.exe

c:\programme\install_icq65.exe

c:\windows\_MSRSTRT.EXE
 

Folders to delete:

c:\Programme\Bonjour

c:\programme\QUAD Utilities

C:\rsit

c:\programme\Spybot - Search & Destroy

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

4. Gehe mit dem Mauszeiger auf die blaue Markierung => rechte Maustaste => Kopieren

5. Klicke bei Avenger in das weiße Feld, so dass die Schreibmarke blinkt.

6. Rechte Maustaste in das weiße Feld => Einfügen
http://saved.im/mzi3ndg3nta0/aven.jpg

7. Schliesse nun alle Programme und Browser-Fenster

8. Um den Avenger zu starten klicke auf -> Execute

9. Dann bestätigen mit "Yes" das der Rechner neu startet

10. Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter => C:\avenger.txt

11. Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Wenn ich es Einfügen will mit der rechten maus taste kommt einfügen und so aber ist grau. und nicht anklickbar.

:confused:

Starte den Windowsexplorer. Navigiere zu dem Ordner C:\Programme. Lösche den Ordner QUAD Utilities. Berichte, ob das funktioniert hat.

ciao, andreas

Ok, ich bin in Programme aber der genannte ordner ist dort nicht.