|
Virus und trojaner zugezogen aber null ahnung.. Help Hallo, ich habe ein problem mit nem virus und nem trojaner und bin blutiger anfänger.. könnt ihr mir helfen?? BITTE!! :heul: AVG hat heute nen virus (virus found Exploid) und nen trojaner (Downloader.IFrame.dj) gefunden. Habe den trojaner in quarantäne gesetzt und das virus ins virus Vault. Reicht das? Wenn ich im Virus Vault auf "heal objects" gehe geht nichts. Hoffe das euch die angaben reichen... Habe wie hier in nem anderen fall beschrieben wurde mal so ein hjt gemacht... Benutze Vista... :confused: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:42:22, on 13.04.2008 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16609) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe C:\Acer\Empowering Technology\eAudio\eAudio.exe C:\Windows\System32\rundll32.exe C:\Windows\System32\rundll32.exe C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe C:\Program Files\Apoint2K\Apoint.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\Grisoft\AVG7\avgcc.exe C:\Users\***~1\AppData\Local\Temp\RtkBtMnt.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Windows\ehome\ehtray.exe C:\Program Files\ICQ6\ICQ.exe C:\Program Files\Apoint2K\Apntex.exe C:\Windows\ehome\ehmsas.exe C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\Users\***\Desktop\klm.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://de.rd.yahoo.com/customize/ycomp/defaults/sp/*h**p://de.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.unitymedia.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://***.unitymedia.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.unitymedia.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ycomp/defaults/su/*h**p://de.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von UnityMedia R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [ALaunch] C:\Acer\ALaunch\AlaunchClient.exe O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe O4 - HKLM\..\Run: [eAudio] "C:\Acer\Empowering Technology\eAudio\eAudio.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe" O4 - HKLM\..\Run: [PLFSetL] C:\Windows\PLFSetL.exe O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe O4 - HKLM\..\Run: [SetPanel] C:\Acer\APanel\APanel.cmd O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\Windows\PLFSet.dll,PLFDefSetting O4 - HKCU\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user') O4 - Global Startup: Empowering Technology Launcher.lnk = C:\Acer\Empowering Technology\eAPLauncher.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://***.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab O20 - Winlogon Notify: avgwlntf - C:\Windows\SYSTEM32\avgwlntf.dll O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe -- End of file - 8295 bytes |
Wie konnte das nur passieren, wo du doch dein System mit so tollen "Anti-" Programmen geschützt hast? Aber kein Problem, da patchen wir jetzt ein bißchen an den Einstellungen rum, löschen den Registryeintrag hier und die Datei da und alles wird gut! :Boogie: Du merkst vielleicht, dass du damit auf dem Holzweg bist. Meine Empfehlung: zieh dir mal ein paar Informationen zum "vernünftigen" Schutz deines Systems rein. Und der Einsatz diverser "Schutz-" Programme ist damit wirklich nicht gemeint - es ist nämlich vollkommen egal, welches der zahlreichen, in allen Foren angepriesenen Programme, du einsetzt, wenn du nicht dein Sicherheitskonzept änderst. Deswegen sichere deine Daten und setze deinen Computer einmal "sicher" wieder neu auf. Das kostet zwar etwas Zeit - dafür hast du aber in Zukunft Ruhe! Wie das geht findest du u.a. unter untenstehenden Links. Wenn du dann noch eine Imaging Software zum Backup einsetzt, bist du für alle Widrigkeiten des (Internet-) Lebens gerüstet. |
Hi Bärlin und Herzlich Willkommen Also lass zuerst folgende Datei hier oder hier online scannen und poste den Report: C:\Windows\PLFSetL.exe Bitte wende nun einmal Ccleaner an und führe danach ComboFix aus und poste den Report von ComboFix bitte. Bitte wende auch Malwarebytes (Link in meiner Signatur) an un poste den Report:daumenhoc Bitte lass die infizierten Dateien von Malwarebytes löschen. |
Hallo Big Surfer! Hm klang etwas ironisch mit den "tollen Anti programmen". DWie gesagt habe null ahnung von so etwas und ein bekannter hatte mir das eigerichtet... Nicht gut? Was denn? Hallo Virus! danke für die hilfe aber wie gesagt in sachen technik bin ich total dumm... Habe ver sucht die windows file auf beiden seiten hochzuladen aber sie wurde nicht gefunden. bei einer manuellen eingabe von mir hat das auch nicht hingehauen. versuche das aber gleich mal mit dem von dir erwähnten ccleaner... Sorry :kloppen: |
Kannst du die Datei über die "Suchen" funktion finden? -->Start, Suchen dann PLFSetL.exe eingeben;) |
Aaaah :bussi: Gabs so wie hier geschrieben und komplett groß... Habe das normale genommen und kam das: Datei PLFSetL.exe empfangen 2008.04.14 16:31:24 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit is zwischen 42 und 60 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.12.0 2008.04.14 - AntiVir 7.6.0.85 2008.04.14 - Authentium 4.93.8 2008.04.13 - Avast 4.8.1169.0 2008.04.14 - AVG 7.5.0.516 2008.04.14 - BitDefender 7.2 2008.04.14 - CAT-QuickHeal 9.50 2008.04.12 - ClamAV 0.92.1 2008.04.14 - DrWeb 4.44.0.09170 2008.04.14 - eSafe 7.0.15.0 2008.04.09 - eTrust-Vet 31.3.5697 2008.04.14 - Ewido 4.0 2008.04.14 - F-Prot 4.4.2.54 2008.04.14 - F-Secure 6.70.13260.0 2008.04.14 - FileAdvisor 1 2008.04.14 - Fortinet 3.14.0.0 2008.04.14 - Ikarus T3.1.1.26 2008.04.14 - Kaspersky 7.0.0.125 2008.04.14 - McAfee 5272 2008.04.11 - Microsoft 1.3408 2008.04.14 - NOD32v2 3025 2008.04.14 - Norman 5.80.02 2008.04.14 - Panda 9.0.0.4 2008.04.14 - Prevx1 V2 2008.04.14 - Rising 20.40.02.00 2008.04.14 - Sophos 4.28.0 2008.04.14 - Sunbelt 3.0.1041.0 2008.04.12 - Symantec 10 2008.04.14 - TheHacker 6.2.92.276 2008.04.12 - VBA32 3.12.6.4 2008.04.14 - VirusBuster 4.3.26:9 2008.04.14 - Webwasher-Gateway 6.6.2 2008.04.14 - weitere Informationen File size: 94208 bytes MD5...: fb1eeab5a76a943060defa4ccc45143b SHA1..: 2c192d971a924f8476839ee9da767fcb0d2fcc1c SHA256: 45ab4ad74f7eb195ea032888be2507da9d0fc2b0a371a397ee6d5dec9f1e0ade SHA512: 05bf74507982e479d93c667fadaf644a5235fed40e08f19042d4d6259fbcc71c 4b3028fbabfa28d5ebe5810fcb69708d8761fddf9a266067938c31ad65697e3f PEiD..: Armadillo v1.71 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4029f8 timedatestamp.....: 0x468cc988 (Thu Jul 05 10:35:52 2007) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xe5ce 0xf000 6.39 e7d277c33c5fb5a80bf00c4d59925d28 .rdata 0x10000 0x3a76 0x4000 4.62 e4ca8a992407a30c7aee227f587fa5eb .data 0x14000 0x498c 0x2000 2.10 87f6edc9abcbd6d1d637559ea8f428cc .rsrc 0x19000 0x3d8 0x1000 1.00 b580f5f9b446355fc88942b8a75b9b77 ( 8 imports ) > KERNEL32.dll: GetCurrentThreadId, lstrcmpA, GetModuleHandleA, GlobalDeleteAtom, GlobalFindAtomA, GlobalAddAtomA, GlobalGetAtomNameA, FreeLibrary, GetProcessVersion, GlobalFlags, GetCPInfo, GetOEMCP, RtlUnwind, GetStartupInfoA, GetCommandLineA, ExitProcess, HeapAlloc, FileTimeToLocalFileTime, RaiseException, GetTimeZoneInformation, GetACP, HeapSize, HeapReAlloc, TerminateProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, LCMapStringA, LCMapStringW, SetUnhandledExceptionFilter, GetStringTypeA, GetStringTypeW, IsBadReadPtr, IsBadCodePtr, SetStdHandle, CompareStringA, CompareStringW, SetEnvironmentVariableA, FileTimeToSystemTime, TlsGetValue, LocalReAlloc, TlsSetValue, GlobalAlloc, GlobalReAlloc, GlobalLock, GlobalHandle, GlobalUnlock, GlobalFree, TlsAlloc, LocalFree, LocalAlloc, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, GetVersion, InitializeCriticalSection, lstrcatA, SetLastError, InterlockedDecrement, InterlockedIncrement, GetFileTime, GetFileSize, GetFileAttributesA, GetModuleFileNameA, lstrcmpiA, GetFullPathNameA, lstrcpynA, GetVolumeInformationA, FindFirstFileA, FindClose, lstrcpyA, lstrlenA, MultiByteToWideChar, LoadLibraryA, GetProcAddress, SetEndOfFile, UnlockFile, LockFile, CloseHandle, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, CreateFileA, GetCurrentProcess, DuplicateHandle, GetLastError, lstrcpyW, WideCharToMultiByte, GetWindowsDirectoryA, GetSystemDefaultLCID, HeapFree, Sleep > ADVAPI32.dll: RegSetValueExA, RegCloseKey, RegOpenKeyExA, RegQueryValueExA > ole32.dll: CoInitialize, CoUninitialize, CoCreateInstance > COMCTL32.dll: - > USER32.dll: GetTopWindow, CopyRect, GetClientRect, AdjustWindowRectEx, SetFocus, GetSysColor, MapWindowPoints, PostMessageA, LoadIconA, SetWindowTextA, LoadCursorA, GetSysColorBrush, ReleaseDC, GetDC, GetClassNameA, PtInRect, ClientToScreen, PostQuitMessage, DestroyMenu, TabbedTextOutA, DrawTextA, GrayStringA, GetCapture, WinHelpA, GetClassInfoA, RegisterClassA, GetMenu, GetMenuItemCount, GetSubMenu, GetMenuItemID, GetDlgItem, GetWindowTextA, GetDlgCtrlID, DefWindowProcA, DestroyWindow, CreateWindowExA, GetClassLongA, SetPropA, GetPropA, CallWindowProcA, RemovePropA, GetMessageTime, GetMessagePos, GetForegroundWindow, SetForegroundWindow, GetWindow, SetWindowLongA, SetWindowPos, RegisterWindowMessageA, SystemParametersInfoA, IsIconic, GetWindowPlacement, GetWindowRect, GetMenuCheckMarkDimensions, LoadBitmapA, GetMenuState, ModifyMenuA, SetMenuItemBitmaps, EnableMenuItem, GetFocus, GetNextDlgTabItem, DispatchMessageA, GetKeyState, CallNextHookEx, PeekMessageA, SetWindowsHookExA, GetParent, GetLastActivePopup, IsWindowEnabled, GetWindowLongA, SendMessageA, MessageBoxA, EnableWindow, LoadStringA, UnhookWindowsHookEx, GetSystemMetrics, CharUpperA, CheckMenuItem > GDI32.dll: GetClipBox, DeleteObject, GetDeviceCaps, DeleteDC, SaveDC, RestoreDC, SelectObject, GetStockObject, SetMapMode, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, GetObjectA, SetTextColor, PtVisible, RectVisible, TextOutA, ExtTextOutA, Escape, CreateBitmap, SetBkColor > WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, OpenPrinterA > comdlg32.dll: GetFileTitleA ( 0 exports ) Bei ccleaner analysieren nehmen oder ccleaner starten? |
Zuerst natürlich analysieren sonst kann er ja nix löschen;) Analysieren und dann CCleaener starten. Danach ComboFix laufen lassen und nur den Report von ComboFix posten;) |
den ccleaner dann starten ohne das ergebnis hier zu posten? Weiß ja jetzt net, ob ich dann anschließend noch einstellungen vor dem starten vornehmen muß... |
Zitat:
Zitat:
|
Genau:daumenhoc CCleaner löscht nur Temporäre datein usw. |
Sooo Virus! Hoffe, das es das ist was du meintest. Ccleaner gemacht und dann ComboFix.... Bin gleich noch mal zur arbeit aber werde danach direkt wieder reinschauen und auf frohe kunde hoffen *bibber* * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Windows\system32\ACER.exe C:\Windows\system32\x64 C:\Windows\system32\x64\csnp2uvc.dll C:\Windows\system32\x64\rsnpvc64.dll C:\Windows\system32\x64\sncduvc.sys C:\Windows\system32\x64\snp2uvc.sys C:\Windows\system32\x64\vsnpvc64.dll . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_PortProxy ((((((((((((((((((((((( Dateien erstellt von 2008-03-14 bis 2008-04-14 )))))))))))))))))))))))))))))) . 2008-03-29 18:08 . 2008-03-29 18:08 <DIR> d-------- C:\Users\Public\CyberLink 2008-03-28 01:37 . 2008-03-28 01:37 <DIR> d-------- C:\Users\***\AppData\Roaming\Media Player Classic 2008-03-28 01:34 . 2008-03-28 01:34 <DIR> d-------- C:\Program Files\K-Lite Codec Pack 2008-03-28 01:34 . 2007-09-04 18:56 164,352 --a------ C:\Windows\System32\unrar.dll 2008-03-18 21:25 . 2008-03-18 21:25 <DIR> d-------- C:\Users\***\AppData\Roaming\Apple Computer 2008-03-18 21:24 . 2008-03-18 21:24 <DIR> d-------- C:\Program Files\Bonjour 2008-03-18 21:23 . 2008-03-18 21:32 <DIR> d-------- C:\Users\All Users\Apple Computer 2008-03-18 21:23 . 2008-03-18 21:32 <DIR> d-------- C:\ProgramData\Apple Computer 2008-03-18 21:23 . 2008-03-18 21:24 <DIR> d-------- C:\Program Files\QuickTime 2008-03-18 21:23 . 2008-03-18 21:23 <DIR> d-------- C:\Program Files\Apple Software Update 2008-03-18 21:22 . 2008-03-18 21:22 <DIR> d-------- C:\Users\All Users\Apple 2008-03-18 21:22 . 2008-03-18 21:22 <DIR> d-------- C:\ProgramData\Apple 2008-03-18 21:22 . 2008-03-18 21:22 <DIR> d-------- C:\Program Files\Common Files\Apple . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-14 13:42 27,715 ----a-w C:\Users\***\AppData\Roaming\nvModes.dat 2008-04-13 09:10 --------- d-----w C:\Users\***\AppData\Roaming\AVG7 2008-03-29 16:08 --------- d-----w C:\Users\***\AppData\Roaming\CyberLink 2008-03-29 16:08 --------- d-----w C:\ProgramData\CyberLink 2008-03-22 14:41 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-03-13 09:29 53,768 ----a-w C:\Windows\system32\drivers\avgwfp.sys 2008-03-10 18:54 --------- d-----w C:\Program Files\CCleaner 2008-03-10 17:14 4,264 ----a-w C:\Windows\System32\tmp.reg 2008-03-09 00:15 86,528 ----a-w C:\Windows\System32\VACFix.exe 2008-03-05 21:29 82,432 ----a-w C:\Windows\System32\IEDFix.exe 2008-03-05 16:59 --------- d-----w C:\Users\***\AppData\Roaming\Grisoft 2008-03-05 16:59 --------- d-----w C:\ProgramData\Grisoft 2008-02-25 21:58 --------- d-----w C:\Users\***\AppData\Roaming\ICQ 2008-02-21 17:43 --------- d-----w C:\Users\***\AppData\Roaming\Winamp 2008-02-21 17:33 --------- d-----w C:\Program Files\Winamp 2008-02-21 17:29 174 --sha-w C:\Program Files\desktop.ini 2008-02-21 17:24 --------- d-----w C:\Program Files\Windows Sidebar 2008-02-21 17:24 --------- d-----w C:\Program Files\Windows Mail 2008-02-21 17:24 --------- d-----w C:\Program Files\Windows Calendar 2008-02-21 17:09 --------- d-----w C:\Program Files\ICQ6 2008-02-21 17:03 194,560 ----a-w C:\Windows\System32\WebClnt.dll 2008-02-21 17:03 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys 2008-02-21 16:58 8,147,968 ----a-w C:\Windows\System32\wmploc.DLL 2008-02-21 16:58 7,680 ----a-w C:\Windows\System32\spwmp.dll 2008-02-21 16:58 4,096 ----a-w C:\Windows\System32\dxmasf.dll 2008-02-21 16:58 356,864 ----a-w C:\Windows\System32\MediaMetadataHandler.dll 2008-02-21 16:57 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys 2008-02-21 16:57 3,504,696 ----a-w C:\Windows\System32\ntkrnlpa.exe 2008-02-21 16:57 3,470,392 ----a-w C:\Windows\System32\ntoskrnl.exe 2008-02-21 16:57 211,000 ----a-w C:\Windows\system32\drivers\volsnap.sys 2008-02-21 16:57 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys 2008-02-21 16:57 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys 2008-02-21 16:57 15,928 ----a-w C:\Windows\system32\drivers\pciide.sys 2008-02-21 16:57 109,624 ----a-w C:\Windows\system32\drivers\ataport.sys 2008-02-21 16:57 1,060,920 ----a-w C:\Windows\system32\drivers\ntfs.sys 2008-02-21 16:56 8,704 ----a-w C:\Windows\System32\hcrstco.dll 2008-02-21 16:56 8,704 ----a-w C:\Windows\System32\hccoin.dll 2008-02-21 16:56 5,888 ----a-w C:\Windows\system32\drivers\usbd.sys 2008-02-21 16:56 38,400 ----a-w C:\Windows\system32\drivers\usbehci.sys 2008-02-21 16:56 224,768 ----a-w C:\Windows\system32\drivers\usbport.sys 2008-02-21 16:56 2,048 ----a-w C:\Windows\System32\msxml3r.dll 2008-02-21 16:56 193,536 ----a-w C:\Windows\system32\drivers\usbhub.sys 2008-02-21 16:56 19,456 ----a-w C:\Windows\system32\drivers\usbohci.sys 2008-02-21 16:56 1,191,936 ----a-w C:\Windows\System32\msxml3.dll 2008-02-21 16:55 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys 2008-02-21 16:55 24,064 ----a-w C:\Windows\System32\netcfg.exe 2008-02-21 16:55 22,016 ----a-w C:\Windows\System32\netiougc.exe 2008-02-21 16:55 216,632 ----a-w C:\Windows\system32\drivers\netio.sys 2008-02-21 16:55 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll 2008-02-21 16:54 9,728 ----a-w C:\Windows\System32\LAPRXY.DLL 2008-02-21 16:54 223,232 ----a-w C:\Windows\System32\WMASF.DLL 2008-02-21 16:54 2,048 ----a-w C:\Windows\System32\asferror.dll 2008-02-21 16:54 1,327,104 ----a-w C:\Windows\System32\quartz.dll 2008-02-21 16:53 2,048 ----a-w C:\Windows\System32\msxml6r.dll 2008-02-21 16:53 1,335,296 ----a-w C:\Windows\System32\msxml6.dll 2008-02-21 16:51 84,480 ----a-w C:\Windows\System32\INETRES.dll 2008-02-21 16:51 737,792 ----a-w C:\Windows\System32\inetcomm.dll 2008-02-21 16:51 11,776 ----a-w C:\Windows\System32\sbunattend.exe 2008-02-21 16:50 84,992 ----a-w C:\Windows\system32\drivers\srvnet.sys 2008-02-21 16:50 788,992 ----a-w C:\Windows\System32\rpcrt4.dll 2008-02-21 16:50 58,368 ----a-w C:\Windows\system32\drivers\mrxsmb20.sys 2008-02-21 16:50 130,048 ----a-w C:\Windows\system32\drivers\srv2.sys 2008-02-21 16:50 101,888 ----a-w C:\Windows\system32\drivers\mrxsmb.sys 2008-02-21 16:49 --------- d-----w C:\Program Files\MSXML 4.0 2008-02-21 16:48 2,048 ----a-w C:\Windows\System32\tzres.dll 2008-02-21 16:47 824,832 ----a-w C:\Windows\System32\wininet.dll 2008-02-21 16:47 56,320 ----a-w C:\Windows\System32\iesetup.dll 2008-02-21 16:47 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll 2008-02-21 16:47 26,624 ----a-w C:\Windows\System32\ieUnatt.exe 2008-02-21 16:46 750,080 ----a-w C:\Windows\System32\qmgr.dll 2008-02-21 16:46 1,244,672 ----a-w C:\Windows\System32\mcmde.dll 2008-02-21 16:39 --------- d-----w C:\ProgramData\avg7 2008-02-21 16:35 9,216 ----a-w C:\Windows\System32\avgwlntf.dll 2008-02-21 16:22 53,080 ----a-w C:\Windows\System32\wuauclt.exe 2008-02-21 16:22 43,352 ----a-w C:\Windows\System32\wups2.dll 2008-02-21 16:22 1,712,984 ----a-w C:\Windows\System32\wuaueng.dll 2008-02-21 16:22 1,524,224 ----a-w C:\Windows\System32\wucltux.dll 2008-02-21 16:21 80,896 ----a-w C:\Windows\System32\wudriver.dll 2008-02-21 16:21 549,720 ----a-w C:\Windows\System32\wuapi.dll 2008-02-21 16:21 33,624 ----a-w C:\Windows\System32\wups.dll 2008-02-21 16:21 31,232 ----a-w C:\Windows\System32\wuapp.exe 2008-02-21 16:21 163,000 ----a-w C:\Windows\System32\wuwebv.dll 2008-02-20 06:47 765,440 ----a-w C:\Windows\system32\drivers\athr.sys 2008-02-19 18:55 --------- d-----w C:\Program Files\Java 2008-02-19 18:54 --------- d-----w C:\Program Files\Common Files\Java . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Acer Tour Reminder"="C:\Acer\AcerTour\Reminder.exe" [2007-05-22 15:49 151552] "ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440] "ICQ"="C:\Program Files\ICQ6\ICQ.exe" [2007-12-19 16:48 172280] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-07-28 10:54 1006264] "ALaunch"="C:\Acer\ALaunch\AlaunchClient.exe" [ ] "RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 05:06 4669440 C:\Windows\RtHDVCpl.exe] "eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-04-25 16:33 457216] "eAudio"="C:\Acer\Empowering Technology\eAudio\eAudio.exe" [2007-06-11 14:54 1286144] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-03-08 04:38 40048] "Acer Tour"="" [] "NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-07-25 14:53 86016] "NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-07-25 14:53 8433664] "NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-07-25 14:53 81920] "LManager"="C:\PROGRA~1\LAUNCH~1\LManager.exe" [2007-08-15 11:21 772616] "PlayMovie"="C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe" [2007-05-24 13:38 206952] "PLFSetL"="C:\Windows\PLFSetL.exe" [ ] "Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2007-06-06 10:06 159744] "eRecoveryService"="" [] "Acer Tour Reminder"="C:\Acer\AcerTour\Reminder.exe" [2007-05-22 15:49 151552] "WarReg_PopUp"="C:\Acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 22:48 57344] "SetPanel"="C:\Acer\APanel\APanel.cmd" [ ] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496] "AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-02-21 18:35 579072] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-02-01 00:13 385024] "PLFSet"="C:\Windows\PLFSet.dll" [2007-05-28 07:58 45056] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-02-21 18:35 219136] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ Empowering Technology Launcher.lnk - C:\Acer\Empowering Technology\eAPLauncher.exe [2007-07-28 11:24:58 535336] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgwlntf] avgwlntf.dll 2008-02-21 18:35 9216 C:\Windows\System32\avgwlntf.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3574191207-156691638-1895706579-1000] "EnableNotificationsRef"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "{EF6DB405-C6E4-4BCC-9BBC-986FFE4DA449}"= C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Acer Arcade Deluxe.exe:Acer Arcade Deluxe "{C8EE00CE-7B28-452D-84AC-6CD0ACBF9D18}"= C:\Program Files\Acer Arcade Deluxe\VideoMagician\VideoMagician.exe:VideoMagician "{D033DA20-65D1-4A19-80D9-462792854C0E}"= C:\Program Files\Acer Arcade Deluxe\HomeMedia\HomeMedia.exe:HomeMedia "{ABD333AC-86BE-4ED9-B1F6-886CED34F64E}"= C:\Program Files\Acer Arcade Deluxe\DV Wizard\DV Wizard.exe:DV Wizard "{F4217A81-EF11-4605-B40A-48A4CD35F453}"= C:\Program Files\Acer Arcade Deluxe\DVDivine\DVDivine.exe:DVDivine "{188E41D4-7F22-496E-9059-B38AF5FBF8CC}"= C:\Program Files\Acer Arcade Deluxe\Play Movie\PlayMovie.exe:Play Movie "{D2F056C3-3DC3-4CA7-97ED-9E987740586F}"= C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe:Play Movie Resident Program "TCP Query User{33A0EA9F-867F-4498-9090-00249779F975}C:\\program files\\icq6\\icq.exe"= UDP:C:\program files\icq6\icq.exe:ICQ Library "UDP Query User{3C0C47AE-E82A-4B8B-BB5F-F8B17C53C98C}C:\\program files\\icq6\\icq.exe"= TCP:C:\program files\icq6\icq.exe:ICQ Library "{E259FB0B-25EC-49AF-87D7-62A8125E92CE}"= UDP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour "{88A6BFA3-BA50-4DD3-9B3D-D7D8E2E76899}"= TCP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour [HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System] "DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic| R0 PSDFilter;PSDFilter;C:\Windows\system32\DRIVERS\psdfilter.sys [2007-04-25 16:34] R0 PSDNServ;PSDNSERVER;C:\Windows\system32\drivers\PSDNServ.sys [2007-04-25 16:34] R0 psdvdisk;psdvdisk;C:\Windows\system32\drivers\psdvdisk.sys [2007-04-25 16:34] R2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};C:\Program Files\Acer Arcade Deluxe\Play Movie\000.fcl [2006-11-02 16:51] R2 ALaunchService;ALaunch Service;C:\Acer\ALaunch\ALaunchSvc.exe [2007-01-26 14:24] R2 eDataSecurity Service;eDSService.exe;"C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe" [2007-04-25 16:34] R2 eNet Service;eNet Service;C:\Acer\Empowering Technology\eNet\eNet Service.exe [2007-06-13 16:54] R2 eSettingsService;eSettings Service;C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe [2007-06-28 18:50] R2 MobilityService;MobilityService;C:\Acer\Mobility Center\MobilityService.exe [2006-11-24 12:57] R2 WMIService;ePower Service;C:\Acer\Empowering Technology\ePower\ePowerSvc.exe [2007-06-13 11:23] R2 XAudio;XAudio;C:\Windows\system32\DRIVERS\xaudio.sys [2007-05-17 02:46] R3 athr;Atheros Extensible Wireless LAN device driver;C:\Windows\system32\DRIVERS\athr.sys [2008-02-20 08:47] R3 AvgWFP;AVG7 Firewall Driver x86;C:\Windows\system32\Drivers\avgwfp.sys [2008-03-13 11:29] R3 enecir;ENE CIR Receiver;C:\Windows\system32\DRIVERS\enecir.sys [2007-05-16 14:47] R3 nvsmu;nvsmu;C:\Windows\system32\DRIVERS\nvsmu.sys [2007-05-17 03:05] S3 WSVD;WSVD;C:\Windows\system32\drivers\WSVD.sys [2006-09-19 16:47] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b8b4e4b0-6bba-11dc-8eaf-806e6f6e6963}] \#shell\install\command - E:\openoffice.org\windows\setup.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-14 17:05:59 Windows 6.0.6000 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\Windows\Explorer.exe -> ?:\Windows\system32\ieframe.dll . ------------------------ Other Running Processes ------------------------ . C:\Windows\System32\audiodg.exe C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\Program Files\CyberLink\Shared Files\RichVideo.exe C:\Windows\System32\drivers\XAudio.exe C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe C:\Windows\System32\wbem\unsecapp.exe C:\Windows\System32\conime.exe C:\Windows\System32\rundll32.exe C:\Windows\System32\rundll32.exe C:\Program Files\Launch Manager\LManager.exe C:\Program Files\Grisoft\AVG7\avgcc.exe C:\Users\***\AppData\Local\Temp\RtkBtMnt.exe C:\Acer\Empowering Technology\ePower\ePower_DMC.exe C:\Program Files\Apoint2K\ApMsgFwd.exe C:\Acer\Empowering Technology\Acer.Empowering.Framework.Supervisor.exe C:\Program Files\Apoint2K\ApntEx.exe C:\Windows\ehome\ehmsas.exe C:\Acer\Empowering Technology\eRecovery\eRAgent.exe C:\Windows\System32\dllhost.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-04-14 17:07:43 - machine was rebooted ComboFix-quarantined-files.txt 2008-04-14 15:07:39 10 Verzeichnis(se), 41,860,251,648 Bytes frei 18 Verzeichnis(se), 43,788,521,472 Bytes frei . 2008-03-10 19:47:23 --- E O F --- Big Surfer! Aaah ok. Werde ich mir dringend zu gemüte führen! Bin immer für gute tipps zu haben! |
folgende dateien bitte online scannen lassen: C:\Windows\System32\VACFix.exe C:\Windows\System32\IEDFix.exe C:\Windows\System32\netiougc.exe C:\Windows\System32\avgwlntf.dll Bitte lass nun Malwarebytes laufen, lösche die gefundenen Dateien und poste den Report:daumenhoc |
Hi Virus! Also bei: C:\Windows\System32\IEDFix.exe Datei IEDFix.exe empfangen 2008.04.14 20:43:21 (CET) Status: Laden ... Ergebnis: 2/32 (6.25%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.15.0 2008.04.14 - AntiVir 7.6.0.85 2008.04.14 - Authentium 4.93.8 2008.04.13 - Avast 4.8.1169.0 2008.04.14 - AVG 7.5.0.516 2008.04.14 - BitDefender 7.2 2008.04.14 - CAT-QuickHeal 9.50 2008.04.14 - ClamAV 0.92.1 2008.04.14 - DrWeb 4.44.0.09170 2008.04.14 - eSafe 7.0.15.0 2008.04.09 suspicious Trojan/Worm eTrust-Vet 31.3.5697 2008.04.14 - Ewido 4.0 2008.04.14 - F-Prot 4.4.2.54 2008.04.14 - F-Secure 6.70.13260.0 2008.04.14 - FileAdvisor 1 2008.04.14 - Fortinet 3.14.0.0 2008.04.14 - Ikarus T3.1.1.26 2008.04.14 - Kaspersky 7.0.0.125 2008.04.14 - McAfee 5273 2008.04.14 - Microsoft 1.3408 2008.04.14 - NOD32v2 3025 2008.04.14 - Norman 5.80.02 2008.04.14 - Panda 9.0.0.4 2008.04.14 - Prevx1 V2 2008.04.14 Heuristic: Suspicious File With Bad Parent Associations Rising 20.40.02.00 2008.04.14 - Sophos 4.28.0 2008.04.14 - Sunbelt 3.0.1041.0 2008.04.12 - Symantec 10 2008.04.14 - TheHacker 6.2.92.277 2008.04.14 - VBA32 3.12.6.4 2008.04.14 - VirusBuster 4.3.26:9 2008.04.14 - Webwasher-Gateway 6.6.2 2008.04.14 - weitere Informationen File size: 82432 bytes MD5...: 57045b9fee3933eccbbf0866dbc6a75f SHA1..: fe92a2d1e2c4848f40415694f54ef680e2caef7a SHA256: 84a5f0574f1702e56e0f230c1506273bec1d8670f1d390da68e9a300ce26cbf2 SHA512: e0c0bc0f8855a4e1739f7bbfef8ebc16f368716da0f2827358294b7df4014a59 ef54979d62571cbe8e9df7bac1e7c68bbebb5233bdaceb3e1838ed246b952428 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x44f760 timedatestamp.....: 0x47cf10ac (Wed Mar 05 21:29:16 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x3b000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x3c000 0x14000 0x13a00 7.91 24225710aa93415f72594d1c80eeec08 .rsrc 0x50000 0x1000 0x600 2.75 4c92cea01da7f3339f09c3dc7ce770a3 ( 4 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess > ADVAPI32.DLL: RegCloseKey > msvcrt.dll: _iob > SHELL32.DLL: ShellExecuteA ( 0 exports ) packers: UPX packers: PE_Patch.UPX, UPX Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=39D38C5100911E464226013DC5586A002713C8B C:\Windows\System32\VACFix.exe Datei VACFix.exe empfangen 2008.04.14 20:53:40 (CET) Ergebnis: 2/32 (6.25%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.15.0 2008.04.14 - AntiVir 7.6.0.85 2008.04.14 - Authentium 4.93.8 2008.04.13 - Avast 4.8.1169.0 2008.04.14 - AVG 7.5.0.516 2008.04.14 - BitDefender 7.2 2008.04.14 - CAT-QuickHeal 9.50 2008.04.14 - ClamAV 0.92.1 2008.04.14 - DrWeb 4.44.0.09170 2008.04.14 - eSafe 7.0.15.0 2008.04.09 suspicious Trojan/Worm eTrust-Vet 31.3.5697 2008.04.14 - Ewido 4.0 2008.04.14 - F-Prot 4.4.2.54 2008.04.14 - F-Secure 6.70.13260.0 2008.04.14 - FileAdvisor 1 2008.04.14 - Fortinet 3.14.0.0 2008.04.14 - Ikarus T3.1.1.26 2008.04.14 - Kaspersky 7.0.0.125 2008.04.14 - McAfee 5273 2008.04.14 - Microsoft 1.3408 2008.04.14 - NOD32v2 3025 2008.04.14 - Norman 5.80.02 2008.04.14 - Panda 9.0.0.4 2008.04.14 - Prevx1 V2 2008.04.14 Heuristic: Suspicious File With Bad Child Associations Rising 20.40.02.00 2008.04.14 - Sophos 4.28.0 2008.04.14 - Sunbelt 3.0.1041.0 2008.04.12 - Symantec 10 2008.04.14 - TheHacker 6.2.92.277 2008.04.14 - VBA32 3.12.6.4 2008.04.14 - VirusBuster 4.3.26:9 2008.04.14 - Webwasher-Gateway 6.6.2 2008.04.14 - weitere Informationen File size: 86528 bytes MD5...: 306df47e93aac9302802c6331bbbcfe2 SHA1..: 7e6c8673fd1142cc4174f882e3c332383f1632c1 SHA256: a87bbd58502b21000255aa4a0985caa54f83784f6ef1317c208330aef73a2504 SHA512: 37d61863d1068e20305dc61027daf66654401ad8ce8f7ded79f1254849769ead 7bf7f4b6507bfac3b8ff2b9409ad2ab5b15e793e69357d88e6c03a09008371be PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4566c0 timedatestamp.....: 0x47d32c25 (Sun Mar 09 00:15:33 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x41000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x42000 0x15000 0x14a00 7.91 e9d533f159d8069dc0a30093a92fc7ad .rsrc 0x57000 0x1000 0x600 2.73 f5546cefa1796893655e671fad85c62e ( 4 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess > ADVAPI32.DLL: RegCloseKey > msvcrt.dll: _iob > SHELL32.DLL: ShellExecuteA ( 0 exports ) packers: UPX packers: PE_Patch.UPX, UPX Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=25AD0C7700A3D3B252D101A90C56D60063DD3D2C C:\Windows\System32\netiougc.exe Datei netiougc.exe empfangen 2008.04.14 21:10:32 (CET) Ergebnis: 0/32 (0%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.15.0 2008.04.14 - AntiVir 7.6.0.85 2008.04.14 - Authentium 4.93.8 2008.04.13 - Avast 4.8.1169.0 2008.04.14 - AVG 7.5.0.516 2008.04.14 - BitDefender 7.2 2008.04.14 - CAT-QuickHeal 9.50 2008.04.14 - ClamAV 0.92.1 2008.04.14 - DrWeb 4.44.0.09170 2008.04.14 - eSafe 7.0.15.0 2008.04.09 - eTrust-Vet 31.3.5697 2008.04.14 - Ewido 4.0 2008.04.14 - F-Prot 4.4.2.54 2008.04.14 - F-Secure 6.70.13260.0 2008.04.14 - FileAdvisor 1 2008.04.14 - Fortinet 3.14.0.0 2008.04.14 - Ikarus T3.1.1.26 2008.04.14 - Kaspersky 7.0.0.125 2008.04.14 - McAfee 5273 2008.04.14 - Microsoft 1.3408 2008.04.14 - NOD32v2 3026 2008.04.14 - Norman 5.80.02 2008.04.14 - Panda 9.0.0.4 2008.04.14 - Prevx1 V2 2008.04.14 - Rising 20.40.02.00 2008.04.14 - Sophos 4.28.0 2008.04.14 - Sunbelt 3.0.1041.0 2008.04.12 - Symantec 10 2008.04.14 - TheHacker 6.2.92.277 2008.04.14 - VBA32 3.12.6.4 2008.04.14 - VirusBuster 4.3.26:9 2008.04.14 - Webwasher-Gateway 6.6.2 2008.04.14 - weitere Informationen File size: 22016 bytes MD5...: 1a8df1e7da3316e119c50e1261aaa6da SHA1..: 79cdb072cd3954a69fc47ffb43407a5ef8130fb1 SHA256: 313b3ed244b63d8bfc1be395f30bcc07834a1c06322d3deea405c3de102c7e35 SHA512: 6bccf45973ab4d3b91cd0d402992b3a6091bbd58722091f45e3f1bee73c7b3ce 790893392c96133312cf0088143eefe506a7b7355bf056ed5dece93e02fd5feb PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1002f73 timedatestamp.....: 0x478ad421 (Mon Jan 14 03:16:49 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x3d3c 0x3e00 6.43 6d9d219e62b95fb3ed4873f52c036800 .data 0x5000 0x444 0x200 0.99 ac385e6b8eb1012bfc1cfbd2d0d1f8b9 .rsrc 0x6000 0x818 0xa00 3.75 deb2b11cef09116ddebe1df9d0bd6124 .reloc 0x7000 0x7aa 0x800 3.73 88870f116a13fbd29e06783c770b783a ( 8 imports ) > ADVAPI32.dll: RegEnumValueA, RegQueryInfoKeyA, RegOpenKeyExA, RegEnumKeyExA > KERNEL32.dll: GetFileAttributesW, CompareStringW, GetCurrentProcessId, lstrlenW, ExpandEnvironmentStringsW, CreateDirectoryW, SetLastError, GetModuleFileNameW, HeapAlloc, HeapSetInformation, MultiByteToWideChar, InterlockedExchange, Sleep, InterlockedCompareExchange, SetUnhandledExceptionFilter, GetModuleHandleA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, LoadLibraryW, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, GetLastError, GetProcAddress, HeapFree, GetProcessHeap, FreeLibrary > msvcrt.dll: _amsg_exit, __setusermatherr, _adjust_fdiv, _vsnwprintf, _initterm, iswdigit, malloc, free, exit, _strnicmp, _XcptFilter, _exit, _cexit, __getmainargs, _stricmp, _wcsnicmp, _onexit, _lock, __dllonexit, _unlock, _controlfp, _except_handler4_common, _terminate@@YAXXZ, __set_app_type, __p__fmode, __p__commode, _vsnprintf, wcsrchr, memset, wcschr > dhcpcsvc.DLL: DhcpEnableDhcp > USER32.dll: CharNextW > IPHLPAPI.DLL: InitializeIpForwardEntry, ConvertInterfaceNameToLuidW, ConvertInterfaceAliasToLuid, ConvertStringToInterfacePhysicalAddress, ConvertInterfacePhysicalAddressToLuid, ConvertInterfaceLuidToNameW, InitializeUnicastIpAddressEntry, InternalCreateUnicastIpAddressEntry, ParseNetworkString, InternalCreateIpForwardEntry2 > NSI.dll: NsiSetAllParameters, NsiGetAllParameters > ntdll.dll: RtlIpv6StringToAddressW, RtlIpv4StringToAddressW ( 0 exports ) C:\Windows\System32\avgwlntf.dll Datei avgwlntf.dll empfangen 2008.04.14 21:20:33 (CET) Ergebnis: 0/32 (0%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.15.0 2008.04.14 - AntiVir 7.6.0.85 2008.04.14 - Authentium 4.93.8 2008.04.13 - Avast 4.8.1169.0 2008.04.14 - AVG 7.5.0.516 2008.04.14 - BitDefender 7.2 2008.04.14 - CAT-QuickHeal 9.50 2008.04.14 - ClamAV 0.92.1 2008.04.14 - DrWeb 4.44.0.09170 2008.04.14 - eSafe 7.0.15.0 2008.04.09 - eTrust-Vet 31.3.5697 2008.04.14 - Ewido 4.0 2008.04.14 - F-Prot 4.4.2.54 2008.04.14 - F-Secure 6.70.13260.0 2008.04.14 - FileAdvisor 1 2008.04.14 - Fortinet 3.14.0.0 2008.04.14 - Ikarus T3.1.1.26 2008.04.14 - Kaspersky 7.0.0.125 2008.04.14 - McAfee 5273 2008.04.14 - Microsoft 1.3408 2008.04.14 - NOD32v2 3026 2008.04.14 - Norman 5.80.02 2008.04.14 - Panda 9.0.0.4 2008.04.14 - Prevx1 V2 2008.04.14 - Rising 20.40.02.00 2008.04.14 - Sophos 4.28.0 2008.04.14 - Sunbelt 3.0.1041.0 2008.04.12 - Symantec 10 2008.04.14 - TheHacker 6.2.92.277 2008.04.14 - VBA32 3.12.6.4 2008.04.14 - VirusBuster 4.3.26:9 2008.04.14 - Webwasher-Gateway 6.6.2 2008.04.14 - weitere Informationen File size: 9216 bytes MD5...: 3d5c969a745e309ac28c2d0abc69df41 SHA1..: fac387c80cdeefc51ebdba441426bb6e7d2cef47 SHA256: 9c5f5c5a4c05df2e0e3015b25ff61aa2f561f6d710df1c6c1490012a0cdac91f SHA512: e41dfebda3c5a9d3bb40a23fd9d1094d84b4da1fa19c12af256e60d272ea1c67 78771df05a42d8f12c28eadb50dd375c46d53031c8cb20415f976795c438e6f4 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x100016e8 timedatestamp.....: 0x45dc7cbe (Wed Feb 21 17:09:18 2007) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xa4a 0xc00 5.64 31e0750b7c6226ca874991f5d7b7bda7 .rdata 0x2000 0x78d 0x800 5.09 ab6f83f826797aff29bbd41837bb0b5b .data 0x3000 0x9c 0x200 0.53 6d56169f257b3a6eda91165fe3c9a870 .rsrc 0x4000 0x540 0x600 3.31 d58cd9e3cad44bf69625455bafaa58e0 .reloc 0x5000 0x374 0x400 2.47 441b3cecb86c91f4fc89c5e3177db16b ( 3 imports ) > KERNEL32.dll: DeleteCriticalSection, GetLastError, CreateFileA, DeviceIoControl, InitializeCriticalSection, GetVersionExA, DisableThreadLibraryCalls, Sleep, GetCurrentProcess, CloseHandle, CreateProcessA, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, ExitProcess > ADVAPI32.dll: OpenProcessToken, GetTokenInformation, RegOpenKeyExA, RegQueryValueExA, RegCloseKey > MSVCR71.dll: free, __3@YAXPAX@Z, __security_error_handler, __dllonexit, _onexit, _initterm, malloc, _adjust_fdiv, __CppXcptFilter, _except_handler3, memset ( 3 exports ) WLEventLogoff, WLEventLogon, WLEventStartup Und Malwarebytes mache ich jetzt gleich |
Lösche bitte diese Dateien mit KillBox: C:\Windows\System32\VACFix.exe C:\Windows\System32\IEDFix.exe Aus dieser Datei werde ich einfach nicht schlau:headbang: Vlt. weiss jemand hier im Forum um was er sich bei dieser Datei handeln könnte: C:\Windows\System32\netiougc.exe Wenn sich bis morgen Abend niemand meldet würde ich die Datei hier hin schicken. Du solltest dann in wenigen Tagen darüber informiert werden ob die Datei Schadcode enhält oder nicht;) Ansonsten den Malwarebytes Report posten:D |
Ok das mit killbox versuche ich jetzt gleich mal. Hier noch der Report Malwarebytes' Anti-Malware 1.11 Datenbank Version: 627 Scan Art: Komplett Scan (C:\|D:\|) Objekte gescannt: 108250 Scan Dauer: 20 minute(s), 21 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) |
Bitte mach zum Schluss einen Komplett Scan mit Kaspersky. Bitte auch neues HiJackThis logfile posten, danke. |
Kaspersky am anfang akzeptieren geht nicht... Habe das mit killbox versucht und anschließend noch mal versucht die beiden dateien zu finden - waren aber weg |
Hey Virus! Kaspersky funkt irgendwie nicht... Hab avg komplett laufen lassen und hatte nichts mehr gefunden. Wegen: C:\Windows\System32\netiougc.exe hat sich leider keiner mehr gemeldet hier :( und dann der benötigte log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:03:44, on 15.04.2008 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16609) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe C:\Acer\Empowering Technology\eAudio\eAudio.exe C:\Windows\System32\rundll32.exe C:\Windows\System32\rundll32.exe C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe C:\Program Files\Apoint2K\Apoint.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\Grisoft\AVG7\avgcc.exe C:\Windows\ehome\ehtray.exe C:\Program Files\ICQ6\ICQ.exe C:\Users\***\AppData\Local\Temp\RtkBtMnt.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\Apoint2K\Apntex.exe C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE C:\Users\***\Desktop\klm.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://***.unitymedia.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***://***.unitymedia.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h***://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h***://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h***://***.unitymedia.de R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h***://de.rd.yahoo.com/customize/ycomp/defaults/su/*h***://de.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [ALaunch] C:\Acer\ALaunch\AlaunchClient.exe O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe O4 - HKLM\..\Run: [eAudio] "C:\Acer\Empowering Technology\eAudio\eAudio.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe" O4 - HKLM\..\Run: [PLFSetL] C:\Windows\PLFSetL.exe O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe O4 - HKLM\..\Run: [SetPanel] C:\Acer\APanel\APanel.cmd O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\Windows\PLFSet.dll,PLFDefSetting O4 - HKCU\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user') O4 - Global Startup: Empowering Technology Launcher.lnk = C:\Acer\Empowering Technology\eAPLauncher.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h***://***.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h***://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab O20 - Winlogon Notify: avgwlntf - C:\Windows\SYSTEM32\avgwlntf.dll O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe -- End of file - 7754 bytes Und was nun? lg |
Hab gerade die besagte datei C:\Windows\System32\netiougc.exe noch bei virscan.org laufen lassen und das kam... Dateiname : netiougc.exe Größe : 22016 byte Typ : MS-DOS executable (EXE), OS/2 or MS Windows MD5 : 1a8df1e7da3316e119c50e1261aaa6da SHA1 : 79cdb072cd3954a69fc47ffb43407a5ef8130fb1 Scan Ergebnis Scan Ergebnis : 3% der Scanner (1/36) haben Malware gefunden! Zeit : 2008/04/15 18:54:32 (CEST) Scanner ↓ Engine Ver Sig Ver Sig Datum Scan Ergebnis Zeit A-Squared 3.0.0.126 2008.04.10 2008-04-10 - 4.596 AhnLab V3 2008.04.11.01 2008.04.11 2008-04-11 - 2.057 AntiVir 7.8.0.6 7.0.3.170 2008-04-15 - 5.336 Arcavir 1.0.4 200804150031 2008-04-15 - 3.996 Avast 1.0.8 080415-1 2008-04-15 - 9.176 AVG 7.5.51.442 269.22.13/1378 2008-04-15 - 8.584 BitDefender 7.60825.1143785 7.18472 2008-04-15 - 12.389 CA (VET) 9.0.0.143 31.3.5700 2008-04-15 - 10.633 ClamAV 0.92 6781 2008-04-15 - 0.011 Comodo 2.11 2.0.0.492 2008-04-11 - 1.803 CP Secure 1.1.0.715 2008.04.15 2008-04-15 - 12.039 Dr.Web 4.44.0.9170 2008.04.15 2008-04-15 - 12.342 Ewido 4.0.0.2 2008.04.11 2008-04-11 - 2.851 F-Prot 4.4.1.52 20080414 2008-04-14 - 4.321 F-Secure 5.51.6100 2008.04.15.07 2008-04-15 - 4.305 Fortinet 2.81-3.11 8.951 2008-04-11 - 12.368 Ikarus T3.1.01.26 2008.04.13.70597 2008-04-13 - 4.802 JiangMin 10.00.650 2008.04.15 2008-04-15 - 5.160 Kaspersky 5.5.10 2008.04.15 2008-04-15 - 9.166 KingSoft 2007.6.20.249 2008.4.15 2008-04-15 - 7.967 McAfee 5.2.00 5273 2008-04-14 - 5.090 Microsoft 1.3408 2008.04.11 2008-04-11 - 40.418 mks_vir 2.01 2008.04.15 2008-04-15 - 4.541 Norman 5.91.10 5.90 2008-04-11 - 14.703 nProtect 2008-04-11.00 1374568 2008-04-11 - 33.194 Panda 9.04.03.0001 2008.04.14 2008-04-14 - 14.399 Prevx V2 20080412 2008-04-12 TROJAN.NET.BASINTH.A 10.462 Quick Heal 9.00 2008.04.14 2008-04-14 - 7.203 Rising 20.0 20.39.32.00 2008-04-10 - 3.248 Sophos 2.72.0 4.28 2008-04-14 - 11.847 Symantec 1.3.0.24 20080414.016 2008-04-14 - 0.396 The Hacker 6.2.92 v00273 2008-04-10 - 14.379 Trend Micro 8.500-1001 5.218.07 2008-04-15 - 0.050 VBA32 3.12.6.4 20080415.0817 2008-04-15 - 4.298 ViRobot 20080415 2008.04.15 2008-04-15 - 8.370 VirusBuster 4.3.19:9 9.123.43/11.0 2008-04-15 - 4.110 |
Hallo Bitte schicke diese Dateien hier hin: C:\Windows\PLFSetL.exe C:\Windows\PLFSet.dll Ich habe ewig lange danach gegoogelt mich durch englische Foren geschlagen usw. aber meistens wusste niemand wirklich um was es sich handelt:confused: Was ich gelesen habe, kann es sein das sie zur Grafikkarte gehören könnte, auch habe ich gelesen das sich "Win32Root" dahinter versteckt und auch das es ein Backdoor sein könnte... achja genau von Sonix ist sie vlt. auch noch:D Diese Datei: C:\Windows\System32\netiougc.exe ist wohl von Microsoft. Bitte wende noch SuperAntiSpyware an. Meldet dein AntiVir immer noch wie anfangs beschrieben? |
Hi! Ich bin dir wirklich sehr dankbar!! Habe versucht die beiden Dateien an die von dir genannte adresse zu senden. Könnte sie aber nicht hochladen bzw C:\Windows\PLFSetL.exe hat er nicht gefunden. Bei der anderen soll es sich um "Programmbibliothek" handeln mit letztem änderungsdatum mai 2007. den laptop habe ich erst seit 3 Monaten... Die netiougc.exe hatte ich auch gefunden im netzt. Das heißt das kann ich so belassen?! SuperAntiSpyware mache ich nachher direkt nach der Arbeit. AVG, wenn du das meinst, meldet immer noch nichts gefunden. Das einzige was zusätzlich angezeigt wird ist C:\Windows\System32\drivers\etc\hosts Result: change Status: Changed. Aber das habe ich bei zwei weiteren wie C:\Windows\System32\shell32.dll und noch einem auch Und was ist mit diesem TROJAN.NET.BASINTH.A |
Zitat:
Zitat:
Da die Datei (wie ich erst später herausgefunden habe) von Microsoft ist, habe ich da keine Bedenken;) Zitat:
Hast du die Anfänglich Beschriebenen Probleme noch? Bei diesen zwei Datein muss ich mir noch was überlegen:Boogie: C:\Windows\PLFSetL.exe C:\Windows\PLFSet.dll ich möchte eigentlich keine Dateien löschen lassen die mir unbekannt sind... werde mich morgen wieder melden |
Hallo hier der log aus dem superantispyware SUPERAntiSpyware Scan Log Generated 04/16/2008 at 12:43 PM Application Version : 4.0.1154 Core Rules Database Version : 3439 Trace Rules Database Version: 1431 Scan type : Complete Scan Total Scan Time : 00:37:49 Memory items scanned : 719 Memory threats detected : 0 Registry items scanned : 6163 Registry threats detected : 0 File items scanned : 71993 File threats detected : 2 Adware.Tracking Cookie C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@doubleclick[1].txt C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@atwola[2].txt Zitat: Zitat von Bärlin Beitrag anzeigen AVG, wenn du das meinst, meldet immer noch nichts gefunden. Das einzige was zusätzlich angezeigt wird ist C:\Windows\System32\drivers\etc\hosts Result: change Status: Changed. Aber das habe ich bei zwei weiteren wie C:\Windows\System32\shell32.dll und noch einem auch Zitat: Zitat von VirusBeitrag anzeigen Kannst du das etwas erläutern bitte Also, wenn ich AVG viruscheck laufen habe wird immer während des scans unter dem Feld Object : C:\Windows\System32\shell32.dll bzw als zweites C:\Windows\System32\ntoskml.exe angezeigt und bei beiden unter den Feldern Result : Status: Change Changed. Ein Bekannter meinte damals, das das normal wäre. Seit dem wir das hier gemeinsam gemacht haben steht jetzt zusätzlich dort aufgeführt noch Object: C:\Windows\System32\drivers\etc\hosts und unter Result und Status wie bei beiden anderen. Hat das was zu bedeuten? Gruß |
Bitte lass mal CCleaner laufen. Bezüglich diesen beiden Dateien: C:\Windows\PLFSetL.exe C:\Windows\PLFSet.dllL Lösche sie bitte mit KillBox (in meiner Signatur) Der Entschluss ist für mich aufgrund diesem Hinweis gefallen. Ansonsten haben wir's glaub geschafft:daumenhoc Bitte mach zum Schluss noch einen Onlin Scan mit Kaspersky. Bestehen die anfänglich beschriebenen Probleme noch, oder vlt. andere neue? |
Hallo! Ok, ich habe den ccleaner noch mal benutzt. Die beiden Dateien habe ich mit der killbox gelöscht. Danke für den link warum du das für richtig hältst. Leider knn ich, wie letztens schon mal geschrieben, Kaspersky noch immer nicht laufen lassen... Keine Ahnung warum. Probleme oder so gibbet nicht. Braucht nur geringfügig länger zum runterfahren aber das heißt ja nüscht. Was ist mit den beiden dinger die bei der analyse mit superantispyware rausgekommen ist und unter quarantäne liegen sowie mit dem erwähnten :\Windows\System32\drivers\etc\hosts?? Kann alles so bleiben? Meinst also wäre alles überstanden? Das wäre schön. Dafür danke ich dir rechtherzlich schon mal. Hat mich wirklich sehr gefreut, dass es so schnell ubd gut ging, wirklich :aplaus: :knuddel: |
Ich würde sagen es ist alles wieder ok:daumenhoc |
Alles wieder ok?! :Boogie: Wie gesagt viiielen Dank für die super schnelle und ausführliche/geduldige Hilfe!!! :huepp: |
Kein Problem;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board