Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   blerfpcv.exe (https://www.trojaner-board.de/50724-blerfpcv-exe.html)

Drottning 19.03.2008 13:38
blerfpcv.exe
 
Hallo,

seit ein paar Tagen meldet ZoneAlarm bei mir folgendes: "blerfpcv.exe versucht auf das Internet zuzugreifen". Egal, ob ich den Zugriff verweigere oder zulasse, es öffnet sich immer ein neues Fenster mit irgendwelcher Werbung oder ich werde aufgefordert, irgendwelche Virenprogramme runterzuladen (was ich natürlich nicht tue!) - diese sich da öffnende Seite (es ist nicht immer dieselbe!) ist dann auch noch so penetrant, dass sie sich als Favorit anlegen lassen möchte etc., ich brauche eine Menge Klicks, um sie überhaupt wegzukriegen.

Ich habe meinen Virenscanner mehrfach laufen lassen (Antivir), habe auch diese Exe-Datei auf meinem PC gesucht, ich finde sie nicht - und ich hab keine Ahnung, was das sein könnte, und vor allem, was ich tun könnte!

Hat jemand von euch eine Idee - und kann es mir so erklären, dass ich es kapiere?

Danke im Voraus!

Drottning 19.03.2008 15:37
Eine Freundin hat mir erklärt, dass ich das hier noch einstellen muss:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:35:06, on 19.03.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Nero\Nero 7\InCD\InCD.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\ASUSTPE.exe
C:\Windows\ASScrPro.exe
C:\Program Files\PowerForPhone\PowerForPhone.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Common Files\ACD Systems\DE\DevDetect.exe
C:\Users\xxx\AppData\Local\blerfpcv.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Windows\system32\msfeedssync.exe
C:\Users\xxx\Desktop\HiJackThis202.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = =h**p://go.microsoft.com/fwlink/?LinkId=54896]Live Search[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = =h**p://www.asus.com]ASUSTeK Computer[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = =h**p://go.microsoft.com/fwlink/?LinkId=54896]Live Search[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896]Live Search[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157]MSN.com[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ASUSTPE] C:\Windows\system32\ASUSTPE.exe
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\ASScrProlog.exe
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\ASScrPro.exe
O4 - HKLM\..\Run: [PowerForPhone] C:\Program Files\PowerForPhone\PowerForPhone.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [blerfpcv] c:\users\xxx\appdata\local\blerfpcv.exe blerfpcv
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Program Files\1&1\IGDCTRL.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 6820 bytes

blow-in 19.03.2008 15:44
Hallo Dorothea
Du kannst froh sein, dass das der @GUA noch nicht gesehen hat. In deinem Log stehen noch Real namen.
Editiere diese noch schnell.
Ansonsten denke ich, dass es bei dir dahin geht.

Drottning 19.03.2008 15:48
Danke, ich hab das jetzt grade auch von meiner Freundin gehört, dass der Name raus muss. Ich hoffe, ich hab nichts übersehen... Schau mir jetzt mal deinen Link an! Bin in dieser Hinsicht wirklich blutiger Anfänger, wie man sieht! Danke noch mal!

blow-in 19.03.2008 15:53
Du hast noch die aktiven Links drin also http:// durch h**p:// ersetzen.
Ansonsten wende mal das Smitfraudfix an wie ich es in dem vorherigen Post beschrieben habe.

Drottning 19.03.2008 16:01
So richtig?

blow-in 19.03.2008 16:13
Zitat:
Zitat von Drottning (Beitrag 329055)
So richtig?
:daumenhoc

Drottning 19.03.2008 19:12
Also ich habe jetzt diesen Smitfraudfix drüber laufen lassen, aber das hat kein Ergebnis gebracht.

Ich poste das jetzt mal:

Zitat:
SmitFraudFix v2.305

Scan done at 18:59:26,17, 19.03.2008
Run from C:\Users\xxx\Desktop\SmitfraudFix
OS: Microsoft Windows [Version 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
::1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6F353F69-7FDC-4BC8-A7C3-E07A52F45411}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F8E399CA-E498-45E9-98E5-F7C3322339D9}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6F353F69-7FDC-4BC8-A7C3-E07A52F45411}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F8E399CA-E498-45E9-98E5-F7C3322339D9}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
Es hat sich auf jeden Fall gleich wieder ein Fenster geöffnet... :headbang: Also war's das wohl nicht?

Drottning 19.03.2008 21:25
Schubs! .....

nochdigger 19.03.2008 22:01
Hallo

lass die Datei doch bitte mal hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080218)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Drottning 19.03.2008 22:08
Welche Datei? Die blerfpcv.exe? Ich weiß ja gar nicht, wo ich die suchen soll, falls du die meinst. Tut mir leid, dass ich so unwissend bin...

EDIT: Ich glaube, ich hab's jetzt. Es wird gescannt.

Drottning 19.03.2008 22:26
So, hier ist das Ergebnis:

Zitat:
Dateiname : blerfpcv.exe
Größe : 379392 byte
Typ : MS-DOS executable (EXE), OS/2 or MS Windows
MD5 : 3606c548aae89866f77b5377fec61b7f
SHA1 : 8f0bea2e9f92b60a8a0095bb462830c4fcdc7da5

Scan Ergebnis
Scan Ergebnis : 14% der Scanner (5/36) haben Malware gefunden!
Zeit : 2008/03/19 22:20:50 (CET)
Scanner ↓ Engine Ver Sig Ver Sig Datum Scan Ergebnis Zeit
A-Squared 3.0.0.126 2008.03.18 2008-03-18
-
3.414
AhnLab V3 2008.03.20.00 2008.03.20 2008-03-20
-
1.039
AntiVir 7.6.0.75 7.0.3.55 2008-03-19
-
2.440
Arcavir 1.0.4 200803191140 2008-03-19
Heur.W32
2.222
Avast 1.0.8 080319-0 2008-03-19
-
3.060
AVG 7.5.51.442 269.21.7/1335 2008-03-19
-
2.091
BitDefender 7.60825.1016110 7.18088 2008-03-20
-
3.715
CA (VET) 9.0.0.143 31.3.5626 2008-03-19
-
10.490
ClamAV 0.92 6305 2008-03-19
-
0.081
Comodo 2.11 2.0.0.469 2008-03-19
-
0.853
CP Secure 1.1.0.715 2008.03.20 2008-03-20
-
6.353
Dr.Web 4.44.0.9170 2008.03.19 2008-03-19
-
4.179
Ewido 4.0.0.2 2008.03.19 2008-03-19
-
2.599
F-Prot 4.4.1.52 20080319 2008-03-19
-
5.627
F-Secure 5.51.6100 2008.03.19.03 2008-03-19
-
4.068
Fortinet 2.81-3.11 8.863 2008-03-19
Suspicious
1.914
Ikarus T3.1.01.20 2008.03.19.70473 2008-03-19
-
1.709
JiangMin 10.00.650 2008.03.19 2008-03-19
-
1.345
Kaspersky 5.5.10 2008.03.19 2008-03-19
-
6.779
KingSoft 2007.6.20.249 2008.3.19 2008-03-19
-
0.862
McAfee 5.2.00 5254 2008-03-18
-
1.799
Microsoft 1.3301 2008.03.19 2008-03-19
-
6.626
mks_vir 2.01 2008.03.19 2008-03-19
Heur.W32
2.787
Norman 5.91.10 5.90 2008-03-18
-
6.541
nProtect 2008-03-19.02 1231810 2008-03-19
-
5.050
Panda 9.04.03.0001 2008.03.19 2008-03-19
Adware/NaviPromo
2.816
Prevx V2 20080320 2008-03-20
TROJAN.DOWNLOADER.GEN
3.096
Quick Heal 9.00 2008.03.19 2008-03-19
-
2.134
Rising 20.0 20.36.22.00 2008-03-19
-
1.823
Sophos 2.71.3 4.27 2008-03-19
-
4.092
Symantec 1.3.0.24 20080319.003 2008-03-19
-
0.217
The Hacker 6.2.92 v00250 2008-03-19
-
0.972
Trend Micro 8.500-1001 5.175.00 2008-03-19
-
0.062
VBA32 3.12.6.3 20080318.2354 2008-03-18
-
2.093
ViRobot 20080319 2008.03.19 2008-03-19
-
0.381
VirusBuster 4.3.19:9 9.123.15/11.0 2008-03-19
-
2.553
Was mach ich nun?

nochdigger 19.03.2008 22:29
Hallo

Zitat:
Welche Datei? Die blerfpcv.exe? Ich weiß ja gar nicht, wo ich die suchen soll, falls du die meinst. Tut mir leid, dass ich so unwissend bin...
gut, du machst zuerst alle versteckten Dateien und Ordner sichtbar und dann gehst du auf z.B. Virustotal
VirusTotal - Kostenloser online Viren- und Malwarescanner
--> Durchsuchen --> diesen Pfad durchklicken
Zitat:
c:\users\"Dein Name?"\appdata\local\blerfpcv.exe
bis zu entsprechenden Datei --> auf "senden" klicken und abwarten kann mehrere Minuten dauern.
Kopiere das Ergebnis ab und füge es in deinen nächsten Beitrag ein, du bekommst das schon hin.

MFG

EDIT : Überrascht ich bin da isses schon erledigt;)

Drottning 19.03.2008 22:30
Ich hab's doch schon hinbekommen! :) Schau, der Bericht steht schon drin!

nochdigger 19.03.2008 22:37
Hallo

versuch es mal hiermit

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
    Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

Anschließend berichte bitte nochmal

MFG

Drottning 19.03.2008 22:39
Der Link funktioniert leider nicht...

nochdigger 19.03.2008 22:42
Uoops:rolleyes:

nimm bitte diesen Link
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip

MFG

Drottning 19.03.2008 22:52
So, das läuft nicht richtig, da kommt dann die Meldung "GetPaths.exe läuft nicht mehr"

und dann
Zitat:
Problemsignatur
Problemereignisame: APPCRASH
Anwendungsname: GetPaths.exe
Anwendungsversion: 0.0.0.0
Anwendungszeitstempel: 2a425e19
Fehlermodulname: kernel32.dll
Fehlermodulversion: 6.0.6000.16386
Fehlermodulzeitstempel: 4549bd80
Ausnahmecode: c0000005
Ausnahmeoffset: 0004fcac
Betriebsystemversion: 6.0.6000.2.0.0.768.3
Gebietsschema-ID: 1031
Zusatzinformation 1: b37c
Zusatzinformation 2: 2a7328d8bb40c81c93b4b5f46adb8e10
Zusatzinformation 3: b37c
Zusatzinformation 4: 2a7328d8bb40c81c93b4b5f46adb8e10

Dateien zur Beschreibung des Problems
Version.txt
AppCompat.txt
memory.hdmp
minidump.mdmp
Bis zu dem neuen Dokument komm ich gar nicht!

Drottning 19.03.2008 23:05
Ich hab auch ständig Konflikte mit Antivir.... Aber wie gesagt, es geht da gar nicht weiter.

Drottning 19.03.2008 23:12
Ich geh jetzt erst mal... muss morgen wieder arbeiten. Vielleicht findet ja jemand eine Lösung für dieses besch... Problem. Auf jeden Fall erst mal Danke für die erste Hilfe!

nochdigger 20.03.2008 06:39
Hallo

versuchen wir es nochmal, deaktiviere bitte den Guard von Antivir --> rechtsklick auf den roten Regenschirm --> klicke auf "Antivir Guard aktivieren" es sollte nun das häkchen verschwunden sein, dann lade dir das Tool bitte nochmal von hier runter
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
weiter wie in der Anleitung beschrieben.

Wenn das nicht klappen sollte, müssen wir uns etwas anderes überlegen.

MFG

Drottning 20.03.2008 13:11
So, ich hab kurz Mittagspause - und es noch mal genauso probiert. Ich bekomme dieselbe Fehlermeldung. (Ohne das lästige Piepsen von Antivir! ;))

Was tun?

nochdigger 20.03.2008 16:06
Hallo

lass bitte den Guard von Antivir noch deaktiviert und lade dir Combofix herunter.

-Lade dir das Tool hier herunter -> KLICK
-Schließe bitte alle anderen Programme
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
-Während des Durchlaufs bitte nichts am Rechner machen
-Der Durchlauf kann eine Weile dauern und der der Rechner kann neu starten
-Kopiere den zum Schluss Text ab, und füge ihn in deinen Beitrag im Board ein!

MFG

Drottning 20.03.2008 20:09
Hallo,
ich glaube, ich hab's geschafft! :aplaus:

Zitat:
ComboFix 08-03-18.1 - xxx 2008-03-20 19:35:42.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.1243 [GMT 1:00]
ausgeführt von:: C:\Users\xxx\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Users\xxx\AppData\Local\blerfpcv.dat
C:\Users\xxx\AppData\Local\blerfpcv.exe
C:\Users\xxx\AppData\Local\blerfpcv_nav.dat
C:\Users\xxx\AppData\Local\blerfpcv_navps.dat
C:\Windows\system32\nvs2.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-20 bis 2008-03-20 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-20 18:53 1,835,008 --sha-w C:\Users\xxx\ntuser.dat
2008-03-20 18:53 1,835,008 --sha-w C:\Users\xxx\ntuser.dat
2008-03-20 18:34 --------- d-----w C:\Users\xxx\AppData\Roaming\Skype
2008-03-20 18:31 --------- d-----w C:\Users\xxx\AppData\Roaming\skypePM
2008-03-20 18:30 45,056 ----a-w C:\Windows\System32\acovcnt.exe
2008-03-20 18:30 350,468 ---ha-w C:\Windows\system32\drivers\vsconfig.xml
2008-03-20 12:08 --------- d-----w C:\Program Files\Navilog1
2008-03-20 12:05 --------- d-----w C:\Users\xxx\AppData\Roaming\OpenOffice.org2
2008-03-16 18:38 --------- d-----w C:\Program Files\Windows Mail
2008-03-16 13:50 2,699,264 ----a-w C:\Windows\Internet Logs\xDB9376.tmp
2008-03-09 15:27 --------- d-----w C:\Users\xxx\AppData\Roaming\Ahead
2008-03-09 15:26 --------- d-----w C:\ProgramData\LightScribe
2008-02-27 07:46 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-02-27 07:46 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-02-27 07:43 806,400 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-02-27 07:43 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-02-27 07:43 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-02-27 07:43 217,144 ----a-w C:\Windows\system32\drivers\netio.sys
2008-02-27 07:43 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-02-27 07:39 824,832 ----a-w C:\Windows\System32\wininet.dll
2008-02-27 07:39 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-02-27 07:39 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-02-27 07:39 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-02-18 11:35 --------- d-----w C:\Users\xxx\AppData\Roaming\Adobe
2008-02-10 19:07 11,776 ----a-w C:\Windows\System32\sbunattend.exe
2008-02-10 19:07 --------- d-----w C:\Program Files\Windows Sidebar
2008-02-10 11:09 --------- d-----w C:\ProgramData\ACD Systems
2008-02-10 11:09 --------- d-----w C:\Program Files\Common Files\ACD Systems
2008-02-10 11:09 --------- d-----w C:\Program Files\ACD Systems
2008-02-10 10:55 --------- d-----w C:\Program Files\QuickTime
2008-01-29 04:16 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-01-29 04:16 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-01-29 04:16 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-01-29 04:16 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-01-29 04:16 1,686,528 ----a-w C:\Windows\System32\gameux.dll
2008-01-29 00:30 4,247,552 ----a-w C:\Windows\System32\GameUXLegacyGDFs.dll
2008-01-22 11:24 --------- d-----w C:\Program Files\Common Files\AVM
2008-01-22 11:24 --------- d-----w C:\Program Files\1&1
2008-01-22 11:22 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-01-21 19:56 --------- d-----w C:\ProgramData\P4G
2008-01-21 19:37 --------- d-s---w C:\Users\xxx\AppData\Roaming\Microsoft
2008-01-20 16:58 350,468 ---ha-w C:\Windows\system32\drivers\vsconfig(101).xml
2008-01-10 05:50 1,244,672 ----a-w C:\Windows\System32\mcmde.dll
2007-12-17 12:21 1,919,488 ----a-w C:\Windows\Internet Logs\xDB67E1.tmp
2007-12-17 12:21 1,389,056 ----a-w C:\Windows\Internet Logs\xDB6BF9.tmp
2007-11-30 20:55 13 ----a-w C:\Users\xxx\AppData\Roaming\sys386lk.dat
2007-11-20 18:23 174 --sha-w C:\Program Files\desktop.ini
2007-11-19 14:08 32 ----a-w C:\ProgramData\ezsid.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 20:35 90112]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-02-01 17:22 21898024]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 13:35 125440]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 13:36 201728]
"Device Detector"="DevDetect.exe" []
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-03-26 19:50 149040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-10-12 14:52 1006264]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-26 20:12 161328]
"InCD"="C:\Program Files\Nero\Nero 7\InCD\InCD.exe" [2007-03-26 19:42 1057328]
"RtHDVCpl"="RtHDVCpl.exe" [2007-02-15 18:07 4390912 C:\Windows\RtHDVCpl.exe]
"SMSERIAL"="C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe" [2007-09-03 14:32 630784]
"ATKMEDIA"="C:\Program Files\ASUS\ATK Media\DMEDIA.EXE" [2006-11-02 16:27 61440]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-23 14:27 815104]
"ASUSTPE"="C:\Windows\system32\ASUSTPE.exe" [2006-12-12 23:06 106496]
"ASUS Camera ScreenSaver"="C:\Windows\ASScrProlog.exe" [2007-10-12 15:29 37232]
"ASUS Screen Saver Protector"="C:\Windows\ASScrPro.exe" [2007-10-12 15:29 33136]
"PowerForPhone"="C:\Program Files\PowerForPhone\PowerForPhone.exe" [2007-06-26 18:10 778240]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-19 19:45 249896]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-11-19 20:38 77824]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-28 05:17 959976]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2951236383-3118804464-3598855262-1000]
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{33B33955-D1E5-4923-B474-6CC43044E1DF}C:\\program files\\skype\\phone\\skype.exe"= UDP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"UDP Query User{4AC9C47D-F5B8-4046-B6A6-1540202550AF}C:\\program files\\skype\\phone\\skype.exe"= TCP:C:\program files\skype\phone\skype.exe:Skype. Take a deep breath
"{1D212947-8158-4577-94B0-EB56FC527707}"= UDP:C:\Program Files\1&1\IGDCTRL.EXE:FRITZ!Box starter - igdctrl.exe
"{314A9E99-4C2C-4740-BDF3-3DBCB04DB16B}"= TCP:C:\Program Files\1&1\IGDCTRL.EXE:FRITZ!Box starter - igdctrl.exe
"{9922CE03-1052-4B07-86A1-EA2FC14FBBC0}"= UDP:C:\Program Files\1&1\FBoxUpd.exe:FRITZ!Box starter - fboxupd.exe
"{1F28C0D5-1C22-4054-9858-3BBBBDB28E5F}"= TCP:C:\Program Files\1&1\FBoxUpd.exe:FRITZ!Box starter - fboxupd.exe
"{600ED9A4-469F-4548-91ED-7841FB291484}"= UDP:C:\Program Files\1&1\WebwaIgd.exe:FRITZ!Box starter - webwaigd.exe
"{11130411-03CE-4CBA-83A7-3FA7D058EAE7}"= TCP:C:\Program Files\1&1\WebwaIgd.exe:FRITZ!Box starter - webwaigd.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R2 IGDCTRL;AVM IGD CTRL Service;"C:\Program Files\1&1\IGDCTRL.EXE" [2007-10-25 17:09]
R3 Atc002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;C:\Windows\system32\DRIVERS\l260x86.sys [2007-08-17 15:00]
R3 athr;Atheros Extensible Wireless LAN device driver;C:\Windows\system32\DRIVERS\athr.sys [2007-03-01 02:04]
R3 R300;R300;C:\Windows\system32\DRIVERS\atikmdag.sys [2007-02-02 16:09]
R3 RTSTOR;USB Mass Storage Device;C:\Windows\system32\drivers\RTSTOR.SYS [2007-01-11 02:18]
S3 AVMUNET;AVM FRITZ!Box;C:\Windows\system32\DRIVERS\avmunet.sys [2005-04-18 16:15]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0ecf65d0-969a-11dc-8e3e-001d60bfe362}]
\shell\AutoRun\command - G:\preinst.exe


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ccc-core-static]
msiexec /fums {6173A4FC-D42D-69A6-52CA-A30496389760} /qb
.
Inhalt des "geplante Tasks" Ordners
"2008-03-20 18:55:31 C:\Windows\Tasks\User_Feed_Synchronization-{84F9E9F6-DD46-4A33-A39E-72EA7D2D6B61}.job"
- C:\Windows\system32\msfeedssync.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-20 19:54:56
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-20 19:55:41
ComboFix-quarantined-files.txt 2008-03-20 18:55:37
.
2008-03-16 18:28:55 --- E O F ---

Drottning 20.03.2008 21:04
Also - nach längerem Testlauf kann ich berichten, was ich nach dem Bericht schon vermutete, dass alles wieder einwandfrei läuft!

Vielen, vielen herzlichen Dank, "nochdigger"! :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:07 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130