|
brauche hilfe bei beseitigung von adware lop hallo =) ich hab ein problem mit nem adware lop. und zwar hat NORTON security scan das vor längerer zeit bei mir "gefunden", ich bin daraufhin in son forum und hab ne logfile von hijackThis gepostet. hab dann alles befolgt was die geschriebn haben. aber es muss wohl irgendwas schief gelaufen sein 8sidn auch ein paar meldungen gekommen, weiß jetz aber dummerweise nichtmehr was das war...) Naja, adware LOP is ncoh da, aber angeblich kann man in de logfile nixmehr davon sehn und somit nicht nachvollziehn wo das ding steckt..oder so :D ihr wisst da ja besser bescheid... ich will das ding einfach weg haben!!!:) ach, und heut is mir der lappi schon 2 mal abgekackt, und ein mal is er von ganz alleine runtergefahren...kp wieso. hat einfach alle anwendungen gecshlossen, von ganz alleine und is aus gegangen...GRUSELIG!:D und er is iwie total langsam geworden, wenn cih ihn an mach muss ich erstmal ewig warten bis sich überhaupt iwas tut...bitte helft mir! ich würd mir auch irgend nen teuren kram kaufem hauptsache das geht weg! lg isabelle |
Hallo und :hallo: 1.) Poste ein Hijackthis Logfile 2.) Malwarebytes Antimalware ausführen und Logfile posten 3.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. |
aahhh, ok, danke erstmal fr die schnele antwort. es besteht also doch noch hoffnung! ihc mach mich dann mal dran! danke danke danke |
OK , 1.) Logfile of Trend Micro HijackThis v2.0.2 [edit] Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 Danke. :) Sunny [/edit] |
ähm, ich konnte das 2te nicht downloaden ( also malwarebytes) wegen meinen sicherheits-zone-regeln... sry, aber ch hab echt keine ahnung was ich da ändern muss=( kenn mich garnicht aus! |
Bitte nimm Dir mehr Zeit die Beiträge zu lesen, mit Combofix kann man seinen Rechner schnell schrotten wenn man da unüberlegt ranlegt. Die Logfiles solltest Du mit Codetags schlossen posten! Was Du mit den Zonen meinst weiß ich nicht. Mußt Du genauer beschreiben welches Programm Dir da was meldet. :rolleyes: |
oh ok, sry, bin so hibbelig wegen dem schrott... ich hab das mit dem malwarebyts jetz hinbekommen, der scan läuft gerade. und ich poste das dann einfach mit , ja? tschuldigung wenn ich bisschen schwer von begriff bin... |
Code: Malwarebytes' Anti-Malware 1.24 |
[code]ComboFix 08-08-12.01 -*** 2008-08-13 21:26:41.1 - NTFSx86 Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.310 [GMT 2:00] ausgeführt von:: C:\Users\***\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . ((((((((((((((((((((((( Dateien erstellt von 2008-07-13 bis 2008-08-13 )))))))))))))))))))))))))))))) . Keine neuen Dateien erstellt in diesem Zeitraum . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-13 19:23 --------- d---a-w C:\ProgramData\TEMP 2008-08-13 19:23 --------- d-----w C:\ProgramData\Google Updater 2008-08-13 19:18 --------- d-----w C:\Users\***\AppData\Roaming\StarOffice8 2008-08-13 19:17 --------- d-----w C:\Program Files\Spybot - Search & Destroy 2008-08-13 19:15 --------- d-----w C:\ProgramData\Spybot - Search & Destroy 2008-08-13 19:01 --------- d-----w C:\Program Files\CCleaner 2008-08-13 17:27 --------- d-----w C:\Users\***\AppData\Roaming\Malwarebytes 2008-08-13 17:27 --------- d-----w C:\ProgramData\Malwarebytes 2008-08-13 17:27 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware 2008-08-13 16:24 --------- d-----w C:\Program Files\Common Files\Symantec Shared 2008-08-13 16:13 --------- d-----w C:\Program Files\Norton Security Scan 2008-08-13 16:05 --------- d-----w C:\Program Files\Windows Mail 2008-08-13 15:24 --------- d-----w C:\Program Files\Spyware Doctor 2008-08-13 15:05 13,166 ----a-w C:\Users\isabelle\AppData\Roaming\nvModes.dat 2008-08-02 01:31 --------- d-----w C:\Program Files\Google 2008-07-30 18:07 38,472 ----a-w C:\Windows\system32\drivers\mbamswissarmy.sys 2008-07-30 18:07 17,144 ----a-w C:\Windows\system32\drivers\mbam.sys 2008-07-18 18:39 587,776 ----a-w C:\Windows\WLXPGSS.SCR 2008-07-15 23:48 2,048 ----a-w C:\Windows\System32\tzres.dll 2008-07-10 17:02 174 --sha-w C:\Program Files\desktop.ini 2008-07-03 17:41 --------- d-----w C:\ProgramData\BALLCASTHOLD 2008-07-03 17:24 --------- d-----w C:\Program Files\Circle Developement 2008-06-26 13:23 --------- d-----w C:\Program Files\Trend Micro 2008-06-26 00:34 7,964,672 ----a-w C:\Windows\System32\NlsLexicons0024.dll 2008-06-26 00:33 9,892,864 ----a-w C:\Windows\System32\NlsLexicons000a.dll 2008-06-23 11:31 --------- d-----w C:\ProgramData\Lavasoft 2008-06-23 11:28 --------- d-----w C:\Program Files\Lavasoft 2008-06-23 11:23 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard 2008-06-19 03:25 61,440 ----a-w C:\Windows\System32\winipsec.dll 2008-06-19 03:25 361,984 ----a-w C:\Windows\System32\IPSECSVC.DLL 2008-06-19 03:25 28,672 ----a-w C:\Windows\System32\FwRemoteSvr.dll 2008-06-19 03:25 272,896 ----a-w C:\Windows\System32\polstore.dll 2008-06-13 20:20 --------- d-----w C:\Program Files\Trillian 2008-06-13 20:19 --------- d-----w C:\Program Files\DivX 2008-06-01 11:04 396,288 ----a-w C:\HijackThis.exe 2008-05-16 09:58 12,632 ----a-w C:\Windows\System32\lsdelete.exe 2008-04-29 16:45 56 ---ha-w C:\Users\All Users\ezsidmv.dat 2008-04-29 16:45 56 ---ha-w C:\ProgramData\ezsidmv.dat 2007-11-27 18:47 32 ----a-w C:\Users\All Users\ezsid.dat 2007-11-27 18:47 32 ----a-w C:\ProgramData\ezsid.dat 2007-07-01 09:31 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat 2007-07-01 09:31 32,768 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat 2007-07-01 09:31 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-09 19:02 1232896] "Power2GoExpress"="C:\Program Files\CyberLink\Power2Go\Power2GoExpress.exe" [2006-12-05 20:29 2486272] "MySpaceIM"="C:\Program Files\MySpace\IM\MySpaceIM.exe" [2007-12-07 09:33 8720384] "ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440] "WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-16 18:00 68856] "EPSON Stylus DX7400 Series"="C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE" [2007-04-12 08:00 182272] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MGSysCtrl"="C:\Program Files\LG Software\System Control Manager\MGSysCtrl.exe" [2007-03-30 18:54 565248] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-12 06:36 827392] "LG Intelligent Update"="C:\Program Files\lg_swupdate\giljabistart.exe" [2007-12-17 16:22 247088] "NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-04-28 19:05 86016] "NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-04-28 19:05 8429568] "NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-04-28 19:05 81920] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-04-24 17:33 29744] "ISTray"="C:\Program Files\Spyware Doctor\pctsTray.exe" [2008-02-01 13:55 1103240] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 12:05 266497] "RtHDVCpl"="RtHDVCpl.exe" [2007-02-15 17:07 4390912 C:\Windows\RtHDVCpl.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "MySpaceIM"="C:\Program Files\MySpace\IM\MySpaceIM.exe" [2007-12-07 09:33 8720384] C:\Users\isabelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ StarOffice 8.lnk - C:\Program Files\Sun\StarOffice 8\program\quickstart.exe [2007-08-17 23:58:18 122880] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ Google Updater.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2007-12-16 18:00:13 125624] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.clmp3enc"= C:\PROGRA~1\CYBERL~1\Power2Go\CLMP3Enc.ACM "VIDC.YV12"= yv12vfw.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "{9383B8DE-F596-4F7B-83BB-D5C15BC441DA}"= UDP:C:\Program Files\ICQ6\ICQ.exe:ICQ6 "{05AB3E48-57A0-4C9C-954B-9F4E326B49F7}"= TCP:C:\Program Files\ICQ6\ICQ.exe:ICQ6 "TCP Query User{06614A1D-6517-4E15-AB0B-0411C5102856}C:\\users\\isabelle\\desktop\\soulseek\\slsk.exe"= UDP:C:\users\isabelle\desktop\soulseek\slsk.exe:slsk.exe "UDP Query User{CA8A34F2-BEA8-410A-B9D4-CCADAAC1717F}C:\\users\\isabelle\\desktop\\soulseek\\slsk.exe"= TCP:C:\users\isabelle\desktop\soulseek\slsk.exe:slsk.exe "{8C377ED7-DB4E-414F-A333-AF545C640C7E}"= UDP:C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger "{A985286B-74DD-4272-8E78-7F337DF148E8}"= TCP:C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger "{6AEC4B91-2373-49A2-B616-E60AB51E72BE}"= UDP:C:\Program Files\Yahoo!\Messenger\YServer.exe:Yahoo! FT Server "{CF438F89-3731-4308-8DE0-53F5A789BC3E}"= TCP:C:\Program Files\Yahoo!\Messenger\YServer.exe:Yahoo! FT Server "{C43DD77B-A5C5-4972-A182-FE6CD663D878}"= Disabled:UDP:C:\Program Files\MySpace\IM\MySpaceIM.exe:MySpaceIM "{EA0500E6-7EC1-4F64-93A1-EB4FB03ABFDF}"= Disabled:TCP:C:\Program Files\MySpace\IM\MySpaceIM.exe:MySpaceIM "{2D5DB575-1776-4530-89C1-006D137F47D5}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes "{C4A7CDA0-434A-4906-9850-139FC41D09C2}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes "{9F06AAD5-6201-4B32-A9AF-DE3706F2F4B0}"= C:\Program Files\Skype\Phone\Skype.exe:Skype "{224CAC95-DA7E-4B11-B9E2-ACA7BB264F9B}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System] "DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic| R0 O2MDRDR;O2MDRDR;C:\Windows\system32\DRIVERS\o2media.sys [2006-11-20 15:14] R0 O2SDRDR;O2SDRDR;C:\Windows\system32\DRIVERS\o2sd.sys [2007-03-09 14:01] R2 NishService;Evil Driver Daemon;C:\Program Files\LG Software\System Control Manager\edd.exe [2006-03-02 16:43] R3 MGHwCtrl;MGHwCtrl;C:\Windows\system32\drivers\MGHwCtrl.sys [2006-07-03 10:31] S3 GoogleDesktopManager-022208-143751;Google Desktop Manager 5.7.802.22438;C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe [2008-04-24 17:33] *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners 2008-07-18 C:\Windows\Tasks\Norton Security Scan.job - C:\Program Files\Norton Security Scan\Nss.exe [2007-09-19 00:42] 2008-08-13 C:\Windows\Tasks\User_Feed_Synchronization-{5D7B1CA9-F1CF-498F-A086-7C5FBC85F67D}.job - C:\Windows\system32\msfeedssync.exe [2006-11-02 11:45] . . ------- Zusätzlicher Scan ------- . FireFox -: Profile - C:\Users\***AppData\Roaming\Mozilla\Firefox\Profiles\zs6nmj71.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF -: plugin - C:\Program Files\Google\Google Updater\2.2.1111.1511\npCIDetect11.dll FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-13 21:32:46 Windows 6.0.6000 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... C:\Users\***\AppData\Local\Temp\catchme.dll 53248 bytes executable Scan erfolgreich abgeschlossen versteckte Dateien: 1 ************************************************************************** . Zeit der Fertigstellung: 2008-08-13 21:35:28 ComboFix-quarantined-files.txt 2008-08-13 19:35:13 Pre-Run: Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden. Post-Run: 15 Verzeichnis(se), 79,380,848,640 Bytes frei 149 --- E O F --- 2008-08-13 16:23:07 |
http://www.file-upload.net/download-1041598/listing8.cmd.html ich hoff das war jetzt richtig so...wenn nicht tuts mir leid =( |
Hallo, Du solltest das Listing.cmd ausführen und nicht das script selbst nochmals hochladen und hier verlinken... :balla: Außerdem solltest Du sorgfältiger beim Setzen der Codetags sein...es gibt hier auch ne Vorschaufunktion!! Nimm Dir mehr Zeit fürs Lesen, sonst wird das nie was! :kloppen: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:31 Uhr. |
Copyright ©2000-2024, Trojaner-Board