Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Storageprotector (https://www.trojaner-board.de/49534-storageprotector.html)

chingy 16.02.2008 14:16
Storageprotector
 
Hallo,

ich weiss es gibt ca. 1000 Threads zu diesem Thema, aber keiner hat wir wirkich weiter geholfen.
Meine Probleme sind vor allem Werbe popups, schlechtere rechner leistung und die immer wieder kehrenden symbole auf dem desktop "Help & Supportcenter" und "Windows Update".
Ich habe mich jetzt mal am Thread von Antrax orientiert und wie Chris4you beschrieben hat zwei logs erstellt.

1. Combofix
2. HJthis

1.
Code:
ComboFix 08-02-12.1 - *** 2008-02-11 23:12:27.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.159 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((  Weitere L”schungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\awvvv.dll
C:\WINDOWS\system32\nnnmjif.dll
C:\Dokumente und Einstellungen\***\Anwendungsdaten\STEM~1
C:\Dokumente und Einstellungen\***\Anwendungsdaten\STEM~1\??stem\
C:\Dokumente und Einstellungen\***\Anwendungsdaten\STEM~1\tracert.exe
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Outerinfo
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Outerinfo\Terms.lnk
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Outerinfo\Uninstall.lnk
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon\domains.txt
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon\log.txt
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\NetMon
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\NetMon\domains.txt
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\NetMon\log.txt
C:\Programme\Gemeinsame Dateien\Yazzle1281OinAdmin.exe
C:\Programme\Gemeinsame Dateien\Yazzle1281OinUninstaller.exe
C:\Programme\network monitor
C:\Programme\network monitor\netmon.exe
C:\Programme\outerinfo
C:\Programme\outerinfo\FF\chrome.manifest
C:\Programme\outerinfo\FF\components\FF.dll
C:\Programme\outerinfo\FF\components\OuterinfoAds.xpt
C:\Programme\outerinfo\FF\install.rdf
C:\Programme\outerinfo\Terms.rtf
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\Temp\isgTi19
C:\Temp\isgTi19\lPig.log
C:\WINDOWS\mrofinu1000106.exe
C:\WINDOWS\mrofinu572.exe
C:\WINDOWS\ssembl~1
C:\WINDOWS\ssembl~1\w?aclt.exe
C:\WINDOWS\system32\aojcetjp.dll
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\awvvv.dll
C:\WINDOWS\system32\cofmoddl.ini
C:\WINDOWS\system32\gcjhgnne.dll
C:\WINDOWS\system32\gcjhgnne.dll . . . . Nicht in der Lage zu löschen
C:\WINDOWS\system32\gcjhgnne.dllbox
C:\WINDOWS\system32\gebyxus.dll
C:\WINDOWS\system32\lddomfoc.dll
C:\WINDOWS\system32\nGpxx01
C:\WINDOWS\system32\nGpxx01\nGpxx011065.exe
C:\WINDOWS\system32\nnnmjif.dll
C:\WINDOWS\system32\oeebcuit.dll
C:\WINDOWS\system32\p1
C:\WINDOWS\system32\p1\liamdll2.exe
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\q9
C:\WINDOWS\system32\q9\liopud89104.exe
C:\WINDOWS\system32\qudebsn.dll
C:\WINDOWS\system32\vvvwa.ini
C:\WINDOWS\system32\vvvwa.ini2
C:\WINDOWS\system32\windows
C:\WINDOWS\uninstall_nmon.vbs
C:\WINDOWS\UnVkaQ\
C:\WINDOWS\UnVkaQ\\asappsrv.dll
C:\WINDOWS\UnVkaQ\\command.exe
C:\WINDOWS\UnVkaQ\\oBp4uk.vbs
C:\WINDOWS\UnVkaQ\command.exe

.
(((((((((((((((((((((((((((((((((((((((  Drivers/Services  )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_CMDSERVICE
-------\LEGACY_NETWORK_MONITOR
-------\cmdService
-------\Network Monitor


(((((((((((((((((((((((  Dateien erstellt von 2008-01-12 bis 2008-02-12  ))))))))))))))))))))))))))))))
.

2008-02-12 23:28 . 2008-02-12 23:28        14,033        --a------        C:\posFC.tmp
2008-02-11 18:24 . 2008-02-12 23:26        163,904        --a------        C:\WINDOWS\system32\gcjhgnne.dll
2008-02-11 18:12 . 2008-02-12 23:14        <DIR>        d--------        C:\Temp

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-09 14:31        17,976,688        ----a-w        C:\Programme\Install_Messenger.exe
.

((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{66F9F6A1-1840-4967-B454-03F9C59963CA}]
2008-02-08 02:07        217088        --a------        C:\Programme\Online Services\niwuzylev89104.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
2008-02-12 23:26        163904        --a------        C:\WINDOWS\system32\gcjhgnne.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-27 18:39 68856]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"Tpce"="C:\DOKUME~1\***\ANWEND~1\STEM~1\tracert.exe" [ ]
"Imyyfzcy"="C:\WINDOWS\?ssembly\w?aclt.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-10-22 11:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 11:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2006-10-22 11:22 86016]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 23:47 31016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gcjhgnne]
gcjhgnne.dll 2008-02-12 23:26 163904 C:\WINDOWS\system32\gcjhgnne.dll

R3 als4k;Avance Audio Miniport Driver (WDM);C:\WINDOWS\system32\drivers\als4000.sys [2001-10-22 11:46]
S3 MSControlService;Microsoft cache control;C:\WINDOWS\system32\windows []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-02-12 23:29:39
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\gcjhgnne.dll

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.2180]
-> C:\WINDOWS\system32\gcjhgnne.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\nvsvc32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-12 23:30:44 - machine was rebooted
ComboFix-quarantined-files.txt  2008-02-12 22:30:33
2.
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:08:12, on 13.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Desktop\HIJACK\HiJackThis\HijackThis.exe

O2 - BHO: (no name) - {66F9F6A1-1840-4967-B454-03F9C59963CA} - C:\Programme\Online Services\niwuzylev89104.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\gcjhgnne.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Tpce] "C:\DOKUME~1\***\ANWEND~1\STEM~1\tracert.exe" -vt yazb
O4 - HKCU\..\Run: [Imyyfzcy] C:\WINDOWS\?ssembly\w?aclt.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: gcjhgnne - gcjhgnne.dll (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 3873 bytes
Vielen Dank im voraus, ich hoffe ihr könnt mir helfen!

11Boy11 16.02.2008 14:58
Hi,

gehe auf die Seite VirusTotal.com und lasse folgende Dateien dort auswerten
( Vergiss den Bericht bitte nicht zu Posten <- Wichtig! )

Zitat:
C:\Programme\Online Services\niwuzylev89104.dll

C:\DOKUME~1\***\ANWEND~1\STEM~1\tracert.exe

C:\WINDOWS\?ssembly\w?aclt.exe

öffne HijackThis, klicke den Button "Scan" und mache anschließend vor folgende Eintrag ein häckchen.

Zitat:
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\gcjhgnne.dll (file missing)
Betätige nun den Button "Fix checked" und starte dein System neu.

chingy 16.02.2008 15:51
Zitat:
Datei fehy89104.dll empfangen 2008.02.10 20:50:13 (CET)
Status: Beendet

Ergebnis: 7/32 (21.88%)
Zitat:
0 bytes size received / Se ha recibido un archivo vacio
Zitat:
0 bytes size received / Se ha recibido un archivo vacio
habe ich gemacht. wie gehe ich weiter vor? danke

11Boy11 16.02.2008 15:58
Hi,

der Bericht ist A) nicht vollständig, und B) nicht von allen 3 genannten Dateien.

chingy 16.02.2008 16:28
So hier die richtigen logs:

niwuzylev89104.dll
Code:
Datei niwuzylev89104.dll empfangen 2008.02.16 16:03:27 (CET)
Status: Beendet
Ergebnis: 9/32 (28.13%)

Antivirus Version letzte
aktualisierung Ergebnis
AhnLab-V3 2008.2.16.10 2008.02.15 Win-AppCare/Ttc.217088
AntiVir 7.6.0.67 2008.02.15 ADSPY/TTC.D.1
Authentium 4.93.8 2008.02.15 -
Avast 4.7.1098.0 2008.02.15 -
AVG 7.5.0.516 2008.02.15 Adware Generic2.ABNX
BitDefender 7.2 2008.02.16 -
CAT-QuickHeal None 2008.02.16 -
ClamAV 0.92.1 2008.02.16 -
DrWeb 4.44.0.09170 2008.02.16 -
eSafe 7.0.15.0 2008.02.14 -
eTrust-Vet 31.3.5541 2008.02.15 -
Ewido 4.0 2008.02.16 -
FileAdvisor 1 2008.02.16 -
Fortinet 3.14.0.0 2008.02.16 Adware/TTC
F-Prot 4.4.2.54 2008.02.15 -
F-Secure 6.70.13260.0 2008.02.15 -
Ikarus T3.1.1.20 2008.02.16 AdWare.TTC.D.1
Kaspersky 7.0.0.125 2008.02.16 not-a-virus:AdWare.Win32.TTC.d
McAfee 5231 2008.02.15 -
Microsoft 1.3204 2008.02.16 -
NOD32v2 2880 2008.02.15 -
Norman 5.80.02 2008.02.15 W32/TTC.FM
Panda 9.0.0.4 2008.02.16 -
Prevx1 V2 2008.02.16 -
Rising 20.31.50.00 2008.02.16 -
Sophos 4.26.0 2008.02.16 -
Sunbelt 2.2.907.0 2008.02.14 -
Symantec 10 2008.02.16 -
TheHacker 6.2.9.221 2008.02.15 -
VBA32 3.12.6.1 2008.02.14 AdWare.Win32.TTC.d
VirusBuster 4.3.26:9 2008.02.15 -
Webwasher-Gateway 6.6.2 2008.02.15 Ad-Spyware.TTC.D.1

weitere Informationen
File size: 217088 bytes
MD5: b503903356b904c1b7ead57c348a3377
Filter
SHA1: a2a61da03b0576491fb811732ebcdb7c92053a79
PEiD: -
Die anderen 2 dateien kann ich nicht finden.

HJ log kommt noch

chingy 16.02.2008 17:57
Zitat:
Datei w__auboot.exe empfangen 2008.02.11 11:45:53 (CET)
Status: Beendet

Ergebnis: 9/32 (28.12%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.11.10 2008.02.11 -
AntiVir 7.6.0.62 2008.02.11 -
Authentium 4.93.8 2008.02.11 -
Avast 4.7.1098.0 2008.02.10 -
AVG 7.5.0.516 2008.02.11 Adware Generic2.AAUW
BitDefender 7.2 2008.02.11 -
CAT-QuickHeal None 2008.02.11 (Suspicious) - DNAScan
ClamAV 0.92 2008.02.11 -
DrWeb 4.44.0.09170 2008.02.11 -
eSafe 7.0.15.0 2008.01.28 Suspicious File
eTrust-Vet 31.3.5527 2008.02.11 -
Ewido 4.0 2008.02.10 -
FileAdvisor 1 2008.02.11 -
Fortinet 3.14.0.0 2008.02.11 -
F-Prot 4.4.2.54 2008.02.10 -
F-Secure 6.70.13260.0 2008.02.11 -
Ikarus T3.1.1.20 2008.02.11 not-a-virus:AdWare.Win32.PurityScan.fn
Kaspersky 7.0.0.125 2008.02.11 -
McAfee 5226 2008.02.08 -
Microsoft 1.3204 2008.02.11 Adware:Win32/Clickspring.C
NOD32v2 2863 2008.02.11 probably a variant of Win32/Adware.PurityScan
Norman 5.80.02 2008.02.08 -
Panda 9.0.0.4 2008.02.10 Suspicious file
Prevx1 V2 2008.02.11 Trojan.NDrv
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.11 -
Sunbelt 2.2.907.0 2008.02.09 VIPRE.Suspicious
Symantec 10 2008.02.11 -
TheHacker 6.2.9.216 2008.02.11 -
VBA32 3.12.6.0 2008.02.10 -
VirusBuster 4.3.26:9 2008.02.10 -
Webwasher-Gateway 6.6.2 2008.02.11 -
weitere Informationen
File size: 230400 bytes
MD5: 99e5941ccdd56144f0975d94a094dfeb
SHA1: 7c7a6442fbca3cddf7e1a1ba5a88896de92c2982
PEiD: PECompact 2.xx --> BitSum Technologies
packers: PecBundle, PECompact
packers: PE_Patch.PECompact, PecBundle, PECompact
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=EB30F14200F215EB848B03DCA60DDC000D4D3034
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
hier ich denke mal dass das der andere ist..habe aber die datei nicht in dem ordner den Sie mir angegeben haben gefunden!

chingy 16.02.2008 18:01
Zitat:
Datei ati2evxx.exe empfangen 2008.01.30 20:05:41 (CET)
Status: Beendet

Ergebnis: 26/32 (81.25%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - Win-Trojan/Purityscan.68608.Y
AntiVir - - TR/Dldr.PurityScan.FJ
Authentium - - -
Avast - - Win32:PurityScan-Q
AVG - - Downloader.Purityscan.Z
BitDefender - - Adware.Purityscan.JA
CAT-QuickHeal - - TrojanDownloader.PurityScan.f
ClamAV - - -
DrWeb - - Adware.MediaTicket.origin
eSafe - - suspicious Trojan/Worm
eTrust-Vet - - Win32/Clspring!generic
Ewido - - -
FileAdvisor - - -
Fortinet - - W32/PurityScan.FJ!tr.dldr
F-Prot - - W32/PurityScan.A.gen!Eldorado
F-Secure - - Trojan-Downloader.Win32.PurityScan.fj
Ikarus - - Trojan-Downloader.Win32.PurityScan.eg
Kaspersky - - Trojan-Downloader.Win32.PurityScan.fj
McAfee - - -
Microsoft - - Adware:Win32/Clickspring.B
NOD32v2 - - a variant of Win32/TrojanDownloader.PurityScan
Norman - - W32/PurityScan.BOL
Panda - - Adware/PurityScan
Prevx1 - - Trojan.SystemPoser
Rising - - -
Sophos - - ClickSpring
Sunbelt - - ClickSpring.PuritySCAN
Symantec - - Adware.Purityscan
TheHacker - - Trojan/Downloader.PurityScan.fj
VBA32 - - Trojan-Downloader.Win32.PurityScan.fj
VirusBuster - - Trojan.DL.CLSpring.Gen
Webwasher-Gateway - - Trojan.Dldr.PurityScan.FJ
weitere Informationen
MD5: 44e5b6b539f2c010a2cf178a5ee13d99
SHA1: 32469201d3c12085bc8cf2b9181cd2057d1db0c8
SHA256: 2187c2317631682d3c5f88c6aed6e2bf3431ce1cae9bf11134e1105a0b305fd3
SHA512: 0760157a6095b2ce57567a8615ca541677a1bfbd2b5516fb284ea2842f56d63f 3fb5872c1e0b9197b203b6069534713232b38071edcabdeba0e0a9615fd451ea
so..ich hoffe mal dass das der letzte..den ich aber auch nicht in der von Ihnen angegebenen datei gefunden hab..mfg chingy

chingy 16.02.2008 18:07
so wie könnte ich weiter vorgehen?
Zitat:
C:\QooBox\Quarantine\C\WINDOWS\SSEMBL~1
hiervon habe ich alle dateien...bitte helfen Sie mir.Ich kenne mich kaum mit computern aus! danke

undoreal 17.02.2008 09:27
Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:


Files to delete:

C:\Programme\Online Services\niwuzylev89104.dll

C:\DOKUME~1\***\ANWEND~1\STEM~1\tracert.exe

C:\WINDOWS\?ssembly\w?aclt.exe

C:\WINDOWS\system32\gcjhgnne.dll
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

undoreal 17.02.2008 09:28
Anleitung SuperAntiSpyware

-Downloade SuperAntiSpyware:

http://img176.imageshack.us/img176/2...nc8a81aey3.png


-Melde dich mit Administrator-Rechten an und installiere das Programm für alle Benutzer.

-Nach der Installation wirst du gefragt ob du die Schädlings-Definitionen sofort auf den neuesten Stand bringen möchtest. -> Klicke auf Ja.
=> Das Update wird daraufhin ausgeführt.

-Im Hauptfenster des Programmes finden sich verschiedene Funktionen:

http://img404.imageshack.us/img404/8...fensternh4.jpg

1. Solltest du überprüfen ob auch wirklich die aktuellen Signaturen vorliegen. Klicke dazu auf den Button Check for Updates... => Der Download wird durchgeführt und du wirst anschließend informiert, dass die Definitionen aktuell sind. Mit Klick auf OK gelangst du wieder in das Hauptfenster.



2. Musst du einige Einstellungen ändern. Öffne hierzu die Einstellungen mit einem Klick auf den Preferences...Button.
Wähle den Reiter Scanning Control aus und setzte die grünen Haken wie im Bild gezeigt wird.
Mit einem Klick auf Close gelangst du wieder in das Hauptfenster.

http://img181.imageshack.us/img181/1...erencesby3.jpg



3. Durch einen Klick auf den Button Scan your Computer gelangst du in die Scanner-Bereich.
Als erstes wählst du bitte unter Scan Location alle deine Festplatten aus und markierst sie mit einem grünen Haken.
Danach setzte den grünen Punkt bei Perform Complete Scan.

http://img528.imageshack.us/img528/1...optionsjy9.jpg

Mit einem Klick auf Weiter startest du den Scan.
Warte nun bis Scan beendet ist. Während dieser Zeit sollten keine anderen Arbeiten am Computer ausgeführt werden!

http://img204.imageshack.us/img204/1299/scanls6.jpg

Nachdem der Scan beendet ist wirst du über evtl. Funde informiert. Du hast außerdem die Möglichkeit weitere Informationen über die markierten Objekte auf der Website des Herstellers ab zu fragen.

Wechsel wieder in das Hauptfenster und öffne die Preferences. Dort wähle den Reiter Statistics/Logs und markiere das letzte logFile.
Durch drücken des Buttons View Log... öffnet sich ein Text-Dokument. Den Inhalt dieses Dokuments markierst (Strg.+A) und kopierst (Strg.+C) du.
Anschließend kannst du es hier im Forum einfügen (Strg.+V).

http://img528.imageshack.us/img528/2685/loglk6.jpg



4. Nach dem dein Helfer das log ausgewertet hat kannst du die Objekte in der Quarantäne Löschen bzw. wiederherstellen.
Wechsel dazu vom Hauptfenster aus in die Quarantäne und führe die gewünschte Aktion für die markierten Objekte aus.
Der Restore...Button stellt die markierten Objekte wieder her während der Remove...Button die Objekte löscht!


Als abschließende Überprüfung sollte ein Scan im agesicherten Modus erfolgen.
Öffne die Safe-Boot-Option von SASW indem du "Start->Programme->SUPERAntiSpyware->BootSafe" öffnest.
Es wird sich ein Installer öffnen der ein Desktop-Symbol und mehrere Registrierungsschlüssel erstellt.
Wähle im darauf folgenden Fenster Safe Mode - Minimal aus und starte den Rechner durch drücken des Reboot Buttons neu.

http://img267.imageshack.us/img267/4237/safebootap6.jpg

Wenn auch dieser Scan beendet ist kannst du den Rechner im normalen Modus neustarten.
Dazu musst du die Boot.ini ändern: "Start->ausführen->msconfig eintippen und Enter drücken.
Dort wählst du den Reiter Boot.ini aus und enfernst den Haken bei /SAFEBOOT.
Klicke dann auf Übernehmen und starte den Rechner durch Drücken des Jetzt neustarten...Buttons neu.

chingy 17.02.2008 11:56
hi,
das problem ist einfach, dass ich die dateien:
Zitat:
C:\DOKUME~1\***\ANWEND~1\STEM~1\tracert.exe

C:\WINDOWS\?ssembly\w?aclt.exe
nicht finde!
diese dateien sind auf meinem pc..ansonsten versuche ich mal Ihre anweisungen. danke

chingy 17.02.2008 12:06
Hey ich bins nochmal.
Also ich habe versucht den Avenger laufen zu lasse aber zeigte
Zitat:
Error:selected file does not appearto be a valid script
was kann ich machen? ich habe keine ahnung..:(

undoreal 17.02.2008 20:38
Hallöle.

a) Wenn du nach einer Datei suchen möchtest dann tue das bitte wie in meiner Signatur beschrieben.

b) Avenger: du musst das komplette Texfeld

Zitat:
Files to delete:

C:\Programme\Online Services\niwuzylev89104.dll

C:\DOKUME~1\***\ANWEND~1\STEM~1\tracert.exe

C:\WINDOWS\?ssembly\w?aclt.exe

C:\WINDOWS\system32\gcjhgnne.dll
abkopieren, und dann im Avenger wie es in der Anleitung beschrieben wir einfügen. Am besten markierst du erst alles, drückst dann Strg+C, wechselst in dem Avenger und drückst wenn du dich dort im Skript-Textfeld befindest Strg.+V.


Danach folge bitte der Anleitung zu SuperAntiSpyware.

chingy 16.03.2008 17:45
So..sorry dass cih nicht geantworte habe, aber musste mich auf mein Abitur vorbereiten.
Hier ist das logfile SUPERAntiSpyware.
Zitat:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 03/16/2008 at 07:19 PM

Application Version : 4.0.1154

Core Rules Database Version : 3420
Trace Rules Database Version: 1412

Scan type : Complete Scan
Total Scan Time : 00:25:20

Memory items scanned : 313
Memory threats detected : 1
Registry items scanned : 4097
Registry threats detected : 11
File items scanned : 25059
File threats detected : 168

Trojan.ZQuest
C:\PROGRAMME\WINDOWSUPDATE\QUHARELOD570.DLL
C:\PROGRAMME\WINDOWSUPDATE\QUHARELOD570.DLL
HKLM\Software\Classes\CLSID\{950CCE83-8626-479D-19BF-4791576E6872}
HKCR\CLSID\{950CCE83-8626-479D-19BF-4791576E6872}
HKCR\CLSID\{950CCE83-8626-479D-19BF-4791576E6872}\InProcServer32
HKCR\CLSID\{950CCE83-8626-479D-19BF-4791576E6872}\InProcServer32#ThreadingModel
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{950CCE83-8626-479D-19BF-4791576E6872}
C:\PROGRAMME\WINDOWSUPDATE\QUHARELOD.DLL
C:\PROGRAMME\WINDOWSUPDATE\QUHARELOD505.DLL
C:\PROGRAMME\WINDOWSUPDATE\QUHARELOD638.DLL
C:\PROGRAMME\WINDOWSUPDATE\QUHARELOD662.DLL
C:\QOOBOX\QUARANTINE\C\PROGRAMME\WINDOWSUPDATE\QUHARELOD403.DLL.VIR
C:\QOOBOX\QUARANTINE\C\PROGRAMME\WINDOWSUPDATE\QUHARELOD655.DLL.VIR
C:\QOOBOX\QUARANTINE\C\PROGRAMME\WINDOWSUPDATE\QUHARELOD.DLL.VIR
C:\QOOBOX\QUARANTINE\C\PROGRAMME\WINDOWSUPDATE\QUHARELOD26.DLL.VIR
C:\QOOBOX\QUARANTINE\C\PROGRAMME\WINDOWSUPDATE\QUHARELOD350.DLL.VIR
C:\QOOBOX\QUARANTINE\C\PROGRAMME\WINDOWSUPDATE\QUHARELOD361.DLL.VIR

Adware.Vundo Variant
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{24F82FF3-C460-46A6-83F3-86D86A3F93A9}
HKCR\CLSID\{24F82FF3-C460-46A6-83F3-86D86A3F93A9}
HKCR\CLSID\{24F82FF3-C460-46A6-83F3-86D86A3F93A9}\InprocServer32
HKCR\CLSID\{24F82FF3-C460-46A6-83F3-86D86A3F93A9}\InprocServer32#ThreadingModel
C:\WINDOWS\SYSTEM32\ADSLD.DLL
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\QUDEBSN.DLL.VIR
C:\WINDOWS\SYSTEM32\CRTDL.DLL

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\didier@adtech[1].txt
C:\Dokumente und Einstellungen\***\Cookies\didier@bestsellerantivirus[1].txt
C:\Dokumente und Einstellungen\***\Cookies\didier@www.adtrak[1].txt
C:\Dokumente und Einstellungen\***\Cookies\didier@hmt.connexpromotions[1].txt
C:\Dokumente und Einstellungen\***\Cookies\didier@stats.searchtrack[1].txt
C:\Dokumente und Einstellungen\***\Cookies\didier@banner.nutspoker[2].txt
C:\Dokumente und Einstellungen\***\Cookies\didier@tradedoubler[2].txt
C:\Dokumente und Einstellungen\***\Cookies\didier@cgi-bin[1].txt
C:\Dokumente und Einstellungen\***\Cookies\didier@clicksor[2].txt
C:\Dokumente und Einstellungen\***\Cookies\didier@ads.us.e-planning[1].txt
C:\Dokumente und Einstellungen\***\Cookies\didier@ehg-nokiafin.hitbox[1].txt
C:\Dokumente und Einstellungen\***\Cookies\didier@ads.domainsuite[1].txt
C:\Dokumente und Einstellungen\***\Cookies\didier@linksynergy[1].txt
C:\Dokumente und Einstellungen\***\Cookies\didier@adsby.zwoops[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@www.goldentigercasino[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@wuv[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@rambler[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@banners.searchingbooth[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@eas.apm.emediate[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@sevenloadgmbh.112.2o7[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@findwhat[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@specificclick[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@adnetserver[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@adinterax[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@ad.adnet[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@casalemedia[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@pacificpoker[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@komtrack[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@mbb[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@fastclick[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@advertising[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@atdmt[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@indextools[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@list[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@mediatraffic[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@ads2.k8l[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@goldentigercasino[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@overture[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@ads.heias[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@zedo[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@adserver.easyad[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@www.tns-counter[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@ad.outerinfoads[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@server.iad.liveperson[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@revenue[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@e-2dj6wfl4wldzwap.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@mrcounter[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@adopt.euroclick[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@questionmarket[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@banner.eurogrand[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@tracking.quisma[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@sueddeutscher[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@partners.webmasterplan[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@ullapopken[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@softonic.112.2o7[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@adopt.specificclick[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@e-2dj6wjlogoczglo.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@ads.planetactive[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@de[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@statcounter[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@www.web-mediaplayer[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@weborama[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@e-2dj6wjkowocjwkp.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@de[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@adrevolver[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@www.etracker[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@as1.falkag[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@1054854175[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@a2.adserver01[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@e-2dj6wcmiwpdzkfp.stats.esomniture[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@msnaccountservices.112.2o7[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@richmedia.yahoo[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@msnportalintlbeetoffice2007.112.2o7[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@ads.moonchildmedia[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@mediamgr.ugo[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@allesklarcomag.112.2o7[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@www.jackpotmadness[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@adrevolver[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@doubleclick[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@adultfriendfinder[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@www.zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@apmebf[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@cgi-bin[3].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@adserver.itdrive[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@serving-sys[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@statse.webtrendslive[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@mediaplex[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@ad.nexico[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@ehg-youtube.hitbox[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@e-2dj6wjkoapajskp.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@a.websponsors[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@ktosexy[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@talkline[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@partypoker[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@hitbox[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@2o7[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@www.burstnet[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@1071239767[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@advertiser.contextmatters[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@qksrv[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@34460220[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@2735[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@waterfrontmedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@partygaming.122.2o7[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@www.burstbeacon[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@spamblockerutility[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@trustedantivirus[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@hotbar[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@e-2dj6wfkiqhdjaeo.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@opodo.122.2o7[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@www.riverbelle[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@media.adrevolver[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@ads.k8l[1].txt
C:\Dokumente und Einstellungen\Didier\Cookies\didier@eyewonder[1].txt

Trojan.Unknown Origin
HKLM\Software\xpre
HKLM\Software\xpre#execount
C:\QOOBOX\QUARANTINE\C\WINDOWS\UNINSTALL_NMON.VBS.VIR
C:\QOOBOX\QUARANTINE\C\WINDOWS\UNVKAQ\OBP4UK.VBS.VIR

Trojan.ZQuest-Installer
C:\DOKUMENTE UND EINSTELLUNGEN\DIDIER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\PHIJ2LDW\TK58[1].EXE
C:\QOOBOX\QUARANTINE\C\WINDOWS\TK58.EXE.VIR
C:\SYSTEM VOLUME INFORMATION\_RESTORE{E06E356A-C77F-4D7F-A114-46B22BA5BE35}\RP1\A0000006.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{E06E356A-C77F-4D7F-A114-46B22BA5BE35}\RP1\A0000018.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{E06E356A-C77F-4D7F-A114-46B22BA5BE35}\RP1\A0000024.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{E06E356A-C77F-4D7F-A114-46B22BA5BE35}\RP1\A0000033.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{E06E356A-C77F-4D7F-A114-46B22BA5BE35}\RP1\A0000038.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{E06E356A-C77F-4D7F-A114-46B22BA5BE35}\RP1\A0000057.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{E06E356A-C77F-4D7F-A114-46B22BA5BE35}\RP12\A0000217.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{E06E356A-C77F-4D7F-A114-46B22BA5BE35}\RP12\A0000223.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{E06E356A-C77F-4D7F-A114-46B22BA5BE35}\RP6\A0000160.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{E06E356A-C77F-4D7F-A114-46B22BA5BE35}\RP7\A0000176.EXE
C:\WINDOWS\TK58.EXE
C:\WINDOWS\Prefetch\TK58.EXE-06A3C19C.pf

Adware.ClickSpring
C:\QOOBOX\QUARANTINE\C\DOKUMENTE UND EINSTELLUNGEN\DIDIER\ANWENDUNGSDATEN\STEM~1\TRACERT.EXE.VIR
C:\QOOBOX\QUARANTINE\C\WINDOWS\SSEMBL~1\W?ACLT.EXE.VIR
Und vom Avenger
Zitat:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wurwtvms

*******************

Script file located at: \??\C:\WINDOWS\qqdjpmch.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Programme\Online Services\niwuzylev89104.dll deleted successfully.


Could not open file C:\DOKUME~1\***\ANWEND~1\STEM~1\tracert.exe for deletion
Deletion of file C:\DOKUME~1\***\ANWEND~1\STEM~1\tracert.exe failed!

Could not process line:
C:\DOKUME~1\***\ANWEND~1\STEM~1\tracert.exe
Status: 0xc0000033



Could not open file C:\WINDOWS\?ssembly\w?aclt.exe for deletion
Deletion of file C:\WINDOWS\?ssembly\w?aclt.exe failed!

Could not process line:
C:\WINDOWS\?ssembly\w?aclt.exe
Status: 0xc0000033



File C:\WINDOWS\system32\gcjhgnne.dll not found!
Deletion of file C:\WINDOWS\system32\gcjhgnne.dll failed!

Could not process line:
C:\WINDOWS\system32\gcjhgnne.dll
Status: 0xc0000034
wie kann ich weiter vorgehen? danke und gruss chingy

undoreal 17.03.2008 18:57
1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

2) Lösche die SASW Quarantäne.


Starte den Rechner neu und beobachte ob sich weitere Probleme zeigen..


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:49 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55