|
Trojaner Habe folgenden Trojaner seit kurzem drauf: w32 Suspicious-F.gen.dropper bei Nero 6.6. Express unter d: Tools, erkannt von Ad aware. (aktualisiert). Mein Virenprogramm Norman Virus (ebenfalls aktuell) meldet unter anderem unter C: Dokumente+ Einstellungen /temp/aawtmp C 147468, Datei recode-ptb.nls, Datei vom Okt 04.11.50 2004. Schon merkwürdig die Jahreszahl?? Ich habe mal Norman Virus angehalten, Antivir gedownload, merkwürdigerweise erkennt Antivir den Trojaner gar nicht. Windows ist heute auch neu aktualisiert worden. |
|
geht das noch weiter GUA "verschieb......"? |
Zitat:
Erstellung eines Hijacklog -Hier gibt es das Tool -> HijackThis -Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.exe -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein) ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! |
Hier das Log von combofix Vorher noch die Anmerkung, dass die Säuberung des Trojaners unter Norman Virus deswegen nicht erfogen kann, weil vorher die Meldung kommt, Fehler beim Öffnen des Archivs. ludni ComboFix 08-01-10.2 - Ludwig 2008-01-10 10:06:13.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.111 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Ludwig\Eigene Dateien\Download\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . ((((((((((((((((((((((( Dateien erstellt von 2007-12-10 bis 2008-01-10 )))))))))))))))))))))))))))))) . 2008-01-10 10:04 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe 2008-01-09 18:56 . 2008-01-09 20:21 <DIR> d-------- C:\Programme\a-squared Free 2008-01-09 13:15 . 2008-01-09 13:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2007-12-24 19:33 . 2007-12-24 19:33 <DIR> d-------- C:\Dokumente und Einstellungen\Ludwig\Anwendungsdaten\Pegasys Inc 2007-12-18 10:55 . 2007-12-18 10:55 <DIR> d-------- C:\Dokumente und Einstellungen\Ludwig\Anwendungsdaten\vlc 2007-12-18 10:54 . 2007-12-24 16:09 <DIR> d-------- C:\Programme\VideoLAN 2007-12-18 09:07 . 2007-12-18 09:07 0 --a------ C:\WINDOWS\muveeapp.INI . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-10 09:10 17,408 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS 2008-01-10 09:10 --------- d-----w C:\Programme\Norman 2007-12-29 09:09 100,180 ----a-w C:\WINDOWS\Fonts\2788_brushed.zip 2007-11-30 14:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2007-11-29 16:02 --------- d-----w C:\Programme\GMX Programme 2007-11-29 15:56 --------- d-----w C:\Programme\ArcorOnline 2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2006-06-16 07:34 127,912 ----a-w C:\Dokumente und Einstellungen\Ludwig\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2004-10-17 17:30 8 --sh--r C:\WINDOWS\system32\32828BBAAC.sys 2004-10-17 17:30 5,224 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{77701e16-9bfe-4b63-a5b4-7bd156758a37}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360] "WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.exe" [2004-08-04 13:00 33792 C:\WINDOWS\system32\rundll32.exe] "nwiz"="nwiz.exe" [2004-09-20 23:09 921600 C:\WINDOWS\system32\nwiz.exe] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 15:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe] "Cmaudio"="cmicnfg.cpl" [] "Dit"="Dit.exe" [2004-07-20 17:18 90112 C:\WINDOWS\Dit.exe] "CHotkey"="mHotkey.exe" [2004-02-24 13:05 508416 C:\WINDOWS\mHotkey.exe] "ledpointer"="CNYHKey.exe" [2004-02-03 16:15 5794816 C:\WINDOWS\CNYHKey.exe] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648] "PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [2004-10-21 10:03 81920] "Norman ZANDA"="C:\Programme\Norman\Npm\bin\ZLH.exe" [2007-08-09 13:39 183352] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2004-10-12 09:05 98304] "Ulead AutoDetector"="C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe" [2003-03-24 19:28 45056] "Zone Labs Client"="C:\Programme\ZoneAlarm\zlclient.exe" [ ] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 18:51 39792] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLMIcon] R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-19 22:29] R2 Ndiskio;Ndiskio;c:\programme\norman\nse\bin\ndiskio.sys [2007-01-02 09:55] R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-10-06 14:10] R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmdsloe.sys [2004-08-10 02:00] R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmndsl.sys [2004-08-10 02:00] R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 13:58] R3 nvcoas;Norman Virus Control on-access component;C:\PROGRAMME\NORMAN\nvc\BIN\nvcoas.exe [2007-07-12 10:38] R3 NVCScheduler;Norman Virus Control Scheduler;C:\PROGRAMME\NORMAN\nvc\BIN\NVCSCHED.EXE [2007-05-23 12:23] R3 UKBFLT;UKBFLT;C:\WINDOWS\system32\DRIVERS\UKBFLT.sys [2003-12-19 16:13] R3 wbscr;Winbond Smartcard Reader for I/O;C:\WINDOWS\system32\drivers\wbscr.sys [2002-04-24 11:07] S2 HQOMCBUC;HQOMCBUC;C:\WINDOWS\system32\hqomcbuc.nuu [] S2 SampleScanner;USB-Flachbettscanner;C:\WINDOWS\system32\DRIVERS\ArtecGT.sys [2001-06-07 17:56] S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-19 22:27] S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-19 22:41] S3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2008-01-10 10:10] S3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fdlubase.sys [2004-08-10 02:00] S3 nvcfsr;nvcfsr;C:\PROGRAMME\NORMAN\nvc\BIN\nvcfsr.sys [2007-01-09 14:25] S3 NvcMFlt;NvcMFlt;C:\WINDOWS\system32\DRIVERS\nvcw32mf.sys [2007-07-09 09:50] S3 nvcoafl51;nvcoafl51;C:\PROGRAMME\NORMAN\nvc\BIN\nvcoafl51.sys [2007-01-09 14:25] S3 nvcoaft51;nvcoaft51;C:\PROGRAMME\NORMAN\nvc\BIN\nvcoaft51.sys [2007-01-09 14:25] S3 nvcoarc51;nvcoarc51;C:\PROGRAMME\NORMAN\nvc\BIN\nvcoarc51.sys [2007-01-09 14:25] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-10 10:10:44 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-01-10 10:12:23 - machine was rebooted ComboFix-quarantined-files.txt 2008-01-10 09:12:19 . 2007-10-11 11:36:00 --- E O F --- |
kann denn keiner darauf weiter antworten? ludni |
Zitat:
War in meinem ersten Beitrag erklärt. |
Habe das wohl geschafft, brauchte aber die Datei nicht umbenennen, ging auch gar nicht zu machen und ein roter Button war da auch nicht zusehen, erst später, hoffentlich habe ich das trotzdem richtig gemacht. Noch etwas: Ich bin ein Laie, vielleicht kein Anfänger,vielleicht schilderst Du die Korrektur ein wenig einfach, geht das? Danke ludni Logfile of HijackThis v1.99.1 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA http://www.smilies.4-user.de/include...lie_be_027.gif [/edit] |
Hab ich was falsch gemacht? Könnt ihr mir jetzt helfen? ludni |
Hiiiiiiiilfe, nun kommt noch ein neues Problem hinzu. Weil ad-aware nicht mehr gedownload hat, habe ich dieses Programm gelöscht und noch einmal neu gedownload. Beim Installieren kommt jedoch die Meldung: Der Prozedureinsprungpunkt WahGetContext wurde in DLL ws2Help.dell nicht gefunden. ludni |
Hiiiiilfe, kann mir denn keiner helfen? ludni |
Die Trojanedatei recode.ptb.nls habe ich unter "Suchen" gefunden. Datum, Uhrzeit, ( 4.10,2004, 11.50 ) alles stimmt. Ich kann diese (Trojanerdatei) aber nicht löschen. könnte sie aber extrahieren und dann alle nachfolgenden Öffnungen möglicherweise ???? löschen. Wäre das ein Weg oder der zu riskant??? Nachher öffnen sich noch Trojanerkinder! ludni |
Biiiitte um Hiiiiiiiilfe ludni |
Hallo, jetzt habe ich mich so angestrengt und ihr lasst mich hängen!!!!!!!!! Bitte meldet euch! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:55 Uhr. |
Copyright ©2000-2025, Trojaner-Board