![]() |
[B]Help: TR/Vundo.gen und TR/Agent.uaa[/B] Liste der Anhänge anzeigen (Anzahl: 2) Hallo zusammen... hoffe dank eurer Hilfe die im Titel benannten Trojaner auf meinem PC eliminieren zu können! Bekomme Sie mit dem AntiVir nicht weg! Was soll ich tun? PS: kam bei den vorherigen Forum-Einträgen nicht nach! |
Hallo. Poste mal zur ersten Grobanalyse ein Hijackthis-Logfile. Nimm dazu diese umbenannte hijackthis.exe. Dann sehen wir weiter. |
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:58:26, on 09.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\MSN Messenger\usnsvc.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\regsvr32.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Roman\Desktop\abc123.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cultureconcept.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {0CF46468-AC82-9EC5-5B79-008AA7762D88} - C:\Programme\Zhypblbu\kxplitaa.dll O2 - BHO: (no name) - {4373E7D1-86C7-44B8-AC7D-FB575F057936} - C:\WINDOWS\system32\awvtr.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {ABB68206-5154-47D3-ABC5-611C1658ABA0} - C:\WINDOWS\system32\iifcyvs.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\softwin\BITDEF~1\bdswitch.exe" O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Labtec\Desktop\V5.1\moffice.exe O4 - HKLM\..\Run: [OFFICEKB] C:\Programme\Labtec\Desktop\V5.1\kbdap32a.exe O4 - HKLM\..\Run: [klydargv] rundll32.exe "C:\Programme\klydargv\gfknwpat.dll",Init O4 - HKLM\..\Run: [zgnexkzi] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zgnexkzi.dll" O4 - HKLM\..\Run: [smgr] mgrs.exe O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe O4 - HKLM\..\Run: [SC2] C:\Programme\SecCenter\scprot4.exe O4 - HKLM\..\Run: [natspaha] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\natspaha.dll" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Siemens Dial-Up PPP Connection.lnk = ? O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - D:\Roman\Download YouTube Video\upod_link.HTM O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://kingkuemin.spaces.live.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131466176937 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.extrafilm.ch/NET/Import/ImageUploader3.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: iifcyvs - C:\WINDOWS\SYSTEM32\iifcyvs.dll O20 - Winlogon Notify: winjrs32 - C:\WINDOWS\SYSTEM32\winjrs32.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 9339 bytes |
Oje, da hast du dir aber eine Menge Schädlinge eingefangen.. :balla: Code: O2 - BHO: (no name) - {0CF46468-AC82-9EC5-5B79-008AA7762D88} - C:\Programme\Zhypblbu\kxplitaa.dll Code: C:\WINDOWS\system32\iifcyvs.dll |
kann nicht auf virustotal.com zugreifen, bin ev noch ein paar mit dem antivir losgeworden. hier eine neue hijackthis-liste: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:47:34, on 09.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\WINDOWS\system32\hpoipm07.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Dokumente und Einstellungen\Roman\Desktop\abc123(2).com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = cultureconcept cem R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {0CF46468-AC82-9EC5-5B79-008AA7762D88} - C:\Programme\Zhypblbu\kxplitaa.dll O2 - BHO: (no name) - {4373E7D1-86C7-44B8-AC7D-FB575F057936} - C:\WINDOWS\system32\awvtr.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {ABB68206-5154-47D3-ABC5-611C1658ABA0} - C:\WINDOWS\system32\iifcyvs.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\softwin\BITDEF~1\bdswitch.exe" O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Labtec\Desktop\V5.1\moffice.exe O4 - HKLM\..\Run: [OFFICEKB] C:\Programme\Labtec\Desktop\V5.1\kbdap32a.exe O4 - HKLM\..\Run: [zgnexkzi] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zgnexkzi.dll" O4 - HKLM\..\Run: [smgr] mgrs.exe O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe O4 - HKLM\..\Run: [SC2] C:\Programme\SecCenter\scprot4.exe O4 - HKLM\..\Run: [natspaha] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\natspaha.dll" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Siemens Dial-Up PPP Connection.lnk = ? O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - D:\Roman\Download YouTube Video\upod_link.HTM O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://kingkuemin.spaces.live.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131466176937 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.extrafilm.ch/NET/Import/ImageUploader3.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: iifcyvs - C:\WINDOWS\SYSTEM32\iifcyvs.dll O20 - Winlogon Notify: winjrs32 - winjrs32.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 9502 bytes |
Dann probiers mal so: 1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es. 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Code: Files to delete: 4.) Danach das System unverzüglich neu starten lassen 5.) Poste den Inhalt der C:\avenger.txt Datei. Schau auch mal in den Ordner c:\avenger - da müsste eine Avenger.zip sein. Lad die mal bei file-upload.net hoch und verlink es hier, damit ich die Dateien mal auswerten kann. Schalte vorher den Virenscanner ab, weil er den Zugriff auf die avenger.zip verweigern könnte! Sollte das nicht klappen, müsste die die avenger.zip mit einem Zip-Passwort versehen (WinZIP oder 7zip bräuchtest du dafür). |
kein avenger.txt da File-Upload.net - Ihr kostenloser File Hoster! hier das file edit: das hier hab ich noch gefunden: ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Fatal error: could not create new script file. Error code: 0 Error logged to errorlog.txt. Aborting now! |
Oje, das wird schwierig... :balla: Dein System scheint ganz schön was abbekommen zu haben. Ich glaub kaum, dass sich da noch was lohnt zu bereinigen, wenn wir nicht mal den Avenger zum Laufen zu bekommen. Kannst du regedit starten? Klick aus Start, Ausführen, regedit eintippen, Ok - klappt das? |
sorry, war drei Tage weg... regedit kann ich aufstarten!!! gruss |
Okay, das ist schonmal gut. Dann starte regedit und navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings und schau rechts nach, ob Enabled auch den Wert 1 hat - wenn nicht, diesen Wert zuweisen! |
Ich habe das gleiche Problem mit TR/Vundo.Gen [edit] bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann danke GUA http://www.smilies.4-user.de/include...lie_be_027.gif [/edit] |
keine Datei mit dem Namen Enabled da! Folgende Dateien (+ Wert) sind im Settings-Ordner (Standard) (nicht gesetzt) Active Debugging (1) DisplayLogo (1) SilentTerminate (0) UseWINSAFER (1) ... |
Okay, dann erstell dort eine neue Zeichenfolge mit dem Wert 1. Probier es dann mit dem Avenger erneut. |
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\rwfevahb ******************* Script file located at: \??\C:\WINDOWS\system32\uudjbpvw.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\iifcyvs.dll deleted successfully. File C:\WINDOWS\SYSTEM32\winjrs32.dll not found! Deletion of file C:\WINDOWS\SYSTEM32\winjrs32.dll failed! Could not process line: C:\WINDOWS\SYSTEM32\winjrs32.dll Status: 0xc0000034 File C:\WINDOWS\system32\spoolvs.exe not found! Deletion of file C:\WINDOWS\system32\spoolvs.exe failed! Could not process line: C:\WINDOWS\system32\spoolvs.exe Status: 0xc0000034 File C:\WINDOWS\system32\printer.exe not found! Deletion of file C:\WINDOWS\system32\printer.exe failed! Could not process line: C:\WINDOWS\system32\printer.exe Status: 0xc0000034 File C:\WINDOWS\system32\awvtr.dll not found! Deletion of file C:\WINDOWS\system32\awvtr.dll failed! Could not process line: C:\WINDOWS\system32\awvtr.dll Status: 0xc0000034 File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zgnexkzi.dll not found! Deletion of file C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zgnexkzi.dll failed! Could not process line: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zgnexkzi.dll Status: 0xc0000034 File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\natspaha.dll not found! Deletion of file C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\natspaha.dll failed! Could not process line: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\natspaha.dll Status: 0xc0000034 Folder C:\Programme\klydargv deleted successfully. Folder C:\Programme\Zhypblbu deleted successfully. Folder C:\Programme\SecCenter deleted successfully. Completed script processing. ******************* Finished! Terminate. ___________________________ Beim Aufstarten kommt zudem die Meldung, dass die Anwendungsdateien: natspaha.dll und zgnexkzi.dll ( --> siehe oben in der Auswertung!) nicht gefunden werden können. Gruss |
Okay, dann mach mal bitte nun als nächstest einen Check mit Blacklight - hoffe, man sollte wenigstens dieses Programm nun bei dir ausführen können. Das Ergebnis hängt nämlich davon ab, ob eine weitere Bereinigung überhaupt noch Sinn macht. Poste das Logfile von Blacklight. |
kann den Link nicht öffnen :( |
Nimm diesen Link => http://mitglied.lycos.de/efunction/tb/blcklght.zip |
12/17/07 18:52:13 [Info]: BlackLight Engine 1.0.67 initialized 12/17/07 18:52:13 [Info]: OS: 5.1 build 2600 (Service Pack 2) 12/17/07 18:52:13 [Note]: 7019 4 12/17/07 18:52:13 [Note]: 7005 0 12/17/07 18:52:15 [Note]: 7006 0 12/17/07 18:52:15 [Note]: 7011 2852 12/17/07 18:52:15 [Note]: 7026 0 12/17/07 18:52:15 [Note]: 7026 0 12/17/07 18:52:18 [Note]: FSRAW library version 1.7.1024 12/18/07 07:52:18 [Note]: 7007 0 |
Ok, dann lohnt es sich vllt. doch noch weiterzumachen ;) Besorg dir mal diese hosts-Datei (ist eine Datei ohne Dateiendung) und kopier sie nach c:\windows\system32\drivers\etc Die vorhandene hosts-Datei bitte ersetzen - schau dann mal nach, ob du die Webseiten von Virenscannerherstellern wieder besuchen kannst. Weiter gehts mit einem ausführlichen Filelisting - falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren: Über ein filelisting mit diesem script:Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. |
Hier der Link: File-Upload.net - Ihr kostenloser File Hoster! und konnte den Blacklight-Link öffnen! Zitat:
|
Hast du das mit der hosts-Datei hinbekommen? Wenn ja, kommst du auf die Seiten der Virenscannerhersteller wieder rauf? Ein paar Dateien müssen wir mit dem Avenger noch löschen, geh wie vorhin vor, nur kopiere diesmal über die Lupe diesen Text hinein: Code: Files to delete: Werte auch mal die Datei C:\WINDOWS\system32\drivers\CnxE2FS.bin bei Virustotal aus und poste die Ergebnisse. Sollte das nicht klappen, dann lad sie gezippt auch zu file-upload.net hoch und verlink es hier. Du hast zuvor geschrieben, dass du ein paar Dateien mit AntiVir losgeworden bist, poste auch daher mal den Bericht von AntiVir. |
Avenger-Log: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\wwtslhhn ******************* Script file located at: \??\C:\Program Files\csdmgarw.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File c:\npigl.dll deleted successfully. File c:\windows\system32\rtvwa.ini deleted successfully. File c:\windows\system32\rtvwa.ini2 deleted successfully. File c:\windows\system32\pmnnnol.dll deleted successfully. Folder c:\windows\system32\nuinopsd deleted successfully. Completed script processing. ******************* Finished! Terminate. Ergebnis von Virustotal: Datei CnxE2FS.bin empfangen 2007.12.20 20:12:36 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 7. Geschätzte Startzeit is zwischen 57 und 81 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.12.21.10 2007.12.20 - AntiVir 7.6.0.46 2007.12.20 - Authentium 4.93.8 2007.12.20 - Avast 4.7.1098.0 2007.12.20 - AVG 7.5.0.503 2007.12.20 - BitDefender 7.2 2007.12.20 - CAT-QuickHeal 9.00 2007.12.20 - ClamAV 0.91.2 2007.12.20 - DrWeb 4.44.0.09170 2007.12.20 - eSafe 7.0.15.0 2007.12.20 - eTrust-Vet 31.3.5390 2007.12.20 - Ewido 4.0 2007.12.20 - FileAdvisor 1 2007.12.20 - Fortinet 3.14.0.0 2007.12.20 - F-Prot 4.4.2.54 2007.12.20 - F-Secure 6.70.13030.0 2007.12.20 - Ikarus T3.1.1.15 2007.12.20 - Kaspersky 7.0.0.125 2007.12.20 - McAfee 5190 2007.12.20 - Microsoft 1.3109 2007.12.20 - NOD32v2 2739 2007.12.20 - Norman 5.80.02 2007.12.20 - Panda 9.0.0.4 2007.12.20 - Prevx1 V2 2007.12.20 - Rising 20.23.32.00 2007.12.20 - Sophos 4.24.0 2007.12.20 - Sunbelt 2.2.907.0 2007.12.20 - Symantec 10 2007.12.20 - TheHacker 6.2.9.165 2007.12.19 - VBA32 3.12.2.5 2007.12.20 - VirusBuster 4.3.26:9 2007.12.20 - Webwasher-Gateway 6.6.2 2007.12.20 - weitere Informationen File size: 65536 bytes MD5: 39e44e6d2543c3175385b88a0c681015 SHA1: 4d004096637f5f4272cdd7d693c2a7691c91a816 PEiD: - |
Das sieht schonmal sehr viel besser aus. :daumenhoc Kommst du nun auf alle Seiten der Virenscannerhersteller nun rauf oder nicht? Führ mal für weitere Analysen folgende Tools bzw. Anleitungen aus und poste die Logfiles: * eScanPoste auch nochmal ein frisches Hijackthis-Log, Links wieder editieren, sodass diese nicht anklickbar sind. |
"Silent Runners.vbs", Zitat:
|
neues logfile vom hijack Zitat:
|
und nun noch zum 3. habe den e-scan im abgesicherten modus durchalufen lassen... er fand in etwa 2stunden 26 viren... finde jedoch keine datei mit dem namen find.bat |
Alle Zeitangaben in WEZ +1. Es ist jetzt 15:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board