|
TR/Crypt.XPACK.Gen & TR/Vundo.Gen Liste der Anhänge anzeigen (Anzahl: 1) es geht darum, dass antvir bei mir dauernd diese beiden trojaner findet bzw. fand (TR/Crypt.XPACK.Gen und TR/Vundo.Gen). und jedesmal waren diese beiden DLL dateien betroffen (stnkkrpc.dll und gthmuura.dll) irgendwie habe ich beide dateien im abgesicherten modus löschen können bzw in quarantäne verschieben können. doch das problem ist nun, dass bei jedem windows start 2 fehlermeldungen angezeigt werden, undzwar, dass diese beiden DLL dateien fehlen. zudem arbeitet mein system wesentlich langsamer seitdem ich diese trojaner eingefangen habe. Außerdem geht eine andere fehlermeldungen von meinem Desktop nicht mehr weg ("Warning! Spyware detected on your computer! Install and antivirus or spyware remover to clean your computer."). ein virenprogram besitz ich und adaware auch, jedoch ist diese bild immernoch in men desktop eingebrannt. das bild von der fehlermeldung habe ich angehangen. ich hoffe ihr könnt mir helfen. und hier das Hijack Logfile ------------------------------------------------------------------------ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:15:15, on 15.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe E:\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE E:\office\Office12\GrooveMonitor.exe C:\Programme\Hp\HP Software Update\HPWuSchd2.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe D:\Programme\BearShare\BearShare.exe E:\Winamp\winampa.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe E:\Itunes\iTunesHelper.exe E:\Ad-Aware 2007\AAWTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\Programme\Messenger\msmsgs.exe E:\veohtv\VeohClient.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe E:\DAEMON Tools\daemon.exe E:\Ad-Aware 2007\Ad-Watch2007.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe E:\office\Office12\ONENOTEM.EXE E:\FireFox 3\firefox.exe E:\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/intl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - E:\veohtv\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [GrooveMonitor] "E:\office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [hpqSRMon] E:\HP\Digital Imaging\bin\hpqSRMon.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [BearShare] "D:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "E:\Itunes\iTunesHelper.exe" O4 - HKLM\..\Run: [lphcagpj0egbg] C:\WINDOWS\system32\lphcagpj0egbg.exe O4 - HKLM\..\Run: [SMrhcegpj0egbg] C:\Programme\rhcegpj0egbg\rhcegpj0egbg.exe O4 - HKLM\..\Run: [AAWTray] E:\Ad-Aware 2007\AAWTray.exe O4 - HKLM\..\Run: [Ad-Watch] E:\Ad-Aware 2007\Ad-Watch2007.exe O4 - HKLM\..\Run: [a0b8b1ab] rundll32.exe "C:\WINDOWS\system32\stnkkrpc.dll",b O4 - HKLM\..\Run: [BMa38b8237] Rundll32.exe "C:\WINDOWS\system32\gthmuura.dll",s O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Orb] "E:\Winamp\Winamp Remote\bin\OrbTray.exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Veoh] "E:\veohtv\VeohClient.exe" /VeohHide O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [DAEMON Tools] "E:\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = E:\office\Office12\ONENOTEM.EXE O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: &D&ownload &with BitComet - res://G:\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://G:\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://G:\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\office\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\office\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\office\Office12\ONBttnIE.dll O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - G:\BitComet\tools\BitCometBHO_1.1.9.24.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\office\Office12\REFIEBAR.DLL O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - E:\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-AT/a-UNO1/GAME_UNO1.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\office\Office12\GrooveSystemServices.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - E:\Ad-Aware 2007\aawservice.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Trend Micro Personal Firewall (PccPfw) - Unknown owner - E:\trend\PccPfw.exe (file missing) O23 - Service: Trend NT Realtime Service (Tmntsrv) - Unknown owner - E:\trend\Tmntsrv.exe (file missing) O23 - Service: Trend Micro Proxy Service (tmproxy) - Unknown owner - E:\trend\tmproxy.exe (file missing) -- End of file - 8878 bytes ------------------------------------------------------------------------- |
Hi und :hallo: Das kriegen wir schon weg:daumenhoc Also die Meldung der fehlenden dll's, ist nicht schlecht. Da die dll's im Autostart sind/waren, und jetzt gelöscht sind, sucht er sie vergebens und meldet dir das er sie nicht finden kann:daumenhoc Wie aber im HJT Logfile zu sehen ist, hast du noch so einiges drauf... Von Bearshare würde ich dir dringend abraten!!! Lass als erstes Malwarebytes laufen, lösche alles was er findet und poste den Report mit einem frischen Hijackthis Logfile zusammen:daumenhoc |
[edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA http://www.smilies.4-user.de/include...lie_be_027.gif [/edit] |
Hast die gefundenen Datein von Malwarebytes gelöscht??? Wenn nicht musst du den Vorgang wiederholen und alles löschen:daumenhoc Und wie schon gesagt, auf Bearshare würde ich verzichten:daumenhoc Hast du den genauen Pfad des neu gefundenen Trojaner? Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix
Erstelle bitte noch mit RunScanner ein Logfile und poste dieses ebenfalls:daumenhoc |
jup hatte die dateien von malwarbytes gelöscht gehabt. bearshare hab ich nun auch gelöscht, aber ging nur mit alt + entfernen. hab irgendwie keine uninstall datei gefunden bzw in der software liste war bearshare nicht aufgelistet. und naja wegen dem trojaner (TR/Monder.dfr), dazu kann ich dir nur sagen dass die A002987.dll betroffen war. hier der smitfraudfix log SmitFraudFix v2.337 Scan done at 15:00:52,48, 16.08.2008 Run from C:\Dokumente und Einstellungen\...\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe E:\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\...\Desktop\SmitfraudFix\Policies.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\... »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\...\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\...\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, following keys are not inevitably infected!!! IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» VACFix !!!Attention, following keys are not inevitably infected!!! VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix !!!Attention, following keys are not inevitably infected!!! 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] »»»»»»»»»»»»»»»»»»»»»»»» Winlogon !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," "System"="" »»»»»»»»»»»»»»»»»»»»»»»» RK »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{565536CE-7A2E-426F-BF48-EFC404C7B9FD}: DhcpNameServer=195.50.140.252 195.50.140.114 HKLM\SYSTEM\CS1\Services\Tcpip\..\{565536CE-7A2E-426F-BF48-EFC404C7B9FD}: DhcpNameServer=195.50.140.252 195.50.140.114 HKLM\SYSTEM\CS2\Services\Tcpip\..\{565536CE-7A2E-426F-BF48-EFC404C7B9FD}: DhcpNameServer=195.50.140.252 195.50.140.114 HKLM\SYSTEM\CS3\Services\Tcpip\..\{565536CE-7A2E-426F-BF48-EFC404C7B9FD}: DhcpNameServer=195.50.140.252 195.50.140.114 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=195.50.140.252 195.50.140.114 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=195.50.140.252 195.50.140.114 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=195.50.140.252 195.50.140.114 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=195.50.140.252 195.50.140.114 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End ----------------------------------------------------------------------- ----------------------------------------------------------------------- und hier der runscanner log (runscanner hab ich aber nicht im abgesicherten modus laufen lassen) Runscanner logfile h..p://www.runscanner.net * = signed file - = file not found 000 General info ---------------- Computer name : ...-1799EDE1F4 Creation time : 16.08.2008 15:12:24 Hosts <> 127.0.0.1 : 0 Hosts file location : %SystemRoot%\System32\drivers\etc IE version : 7.0.5730.13 OS : Microsoft Windows XP OS Build : 2600 OS SP : Service Pack 2 RunScanner Version : 1.6.3.0 User Language : Deutsch (Deutschland) User rights : Administrator Windows folder : C:\WINDOWS 001 Running processes --------------------- e:\ad-aware 2007\aawtray.exe * e:\ad-aware 2007\aawservice.exe (Lavasoft AB) * c:\programme\adobe\reader 8.0\reader\reader_sl.exe (Adobe Systems Incorporated) e:\ad-aware 2007\ad-watch2007.exe (Lavasoft AB) c:\programme\avira\antivir personaledition classic\avguard.exe (Avira GmbH) c:\programme\avira\antivir personaledition classic\sched.exe (Avira GmbH) c:\programme\avira\antivir personaledition classic\avgnt.exe (Avira GmbH) * c:\windows\system32\services.exe (Microsoft Corporation) c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe (Apple, Inc.) * c:\windows\system32\alg.exe (Microsoft Corporation) * c:\windows\system32\csrss.exe (Microsoft Corporation) * c:\windows\system32\ctfmon.exe (Microsoft Corporation) * c:\windows\system32\rundll32.exe (Microsoft Corporation) * e:\firefox 3\firefox.exe (Mozilla Corporation) * c:\windows\system32\svchost.exe (Microsoft Corporation) * c:\windows\system32\svchost.exe (Microsoft Corporation) * c:\windows\system32\svchost.exe (Microsoft Corporation) * c:\windows\system32\svchost.exe (Microsoft Corporation) * c:\windows\system32\svchost.exe (Microsoft Corporation) * c:\windows\system32\svchost.exe (Microsoft Corporation) * c:\windows\system32\svchost.exe (Microsoft Corporation) * c:\windows\system32\svchost.exe (Microsoft Corporation) * e:\office\office12\groovemonitor.exe (Microsoft Corporation) * c:\programme\hp\hp software update\hpwuschd2.exe (Hewlett-Packard) * c:\programme\ipod\bin\ipodservice.exe (Apple Inc.) * e:\itunes\ituneshelper.exe (Apple Inc.) * c:\programme\java\jre1.6.0_07\bin\jusched.exe (Sun Microsystems, Inc.) * c:\windows\system32\lsass.exe (Microsoft Corporation) * c:\programme\gemeinsame dateien\ahead\lib\nmbgmonitor.exe (Nero AG) * c:\programme\gemeinsame dateien\ahead\lib\nmindexstoresvr.exe (Nero AG) * c:\programme\gemeinsame dateien\ahead\lib\nmindexingservice.exe (Nero AG) * c:\windows\system32\nvsvc32.exe (NVIDIA Corporation) * c:\windows\soundman.exe (Realtek Semiconductor Corp.) * c:\dokumente und einstellungen\...\desktop\runscanner\runscanner.exe (Runscanner.net) * c:\windows\system32\spoolsv.exe (Microsoft Corporation) e:\veohtv\veohclient.exe (Veoh Networks) * e:\daemon tools\daemon.exe (DT Soft Ltd.) e:\winamp\winampa.exe * c:\windows\explorer.exe (Microsoft Corporation) * c:\programme\windows live\messenger\msnmsgr.exe (Microsoft Corporation) * c:\programme\messenger\msmsgs.exe (Microsoft Corporation) * c:\windows\system32\winlogon.exe (Microsoft Corporation) * c:\windows\system32\smss.exe (Microsoft Corporation) * c:\windows\system32\wscntfy.exe (Microsoft Corporation) * c:\windows\system32\wdfmgr.exe (Microsoft Corporation) 002 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys) ----------------------------------------------------------------- - c:\windows\system32\stnkkrpc.dll e:\ad-aware 2007\aawtray.exe e:\ad-aware 2007\ad-watch2007.exe (Lavasoft AB) c:\programme\avira\antivir personaledition classic\avgnt.exe (Avira GmbH) - d:\programme\bearshare\bearshare.exe * c:\programme\hp\hp software update\hpwuschd2.exe (Hewlett-Packard) - e:\hp\digital imaging\bin\hpqsrmon.exe * e:\itunes\ituneshelper.exe (Apple Inc.) C:\WINDOWS\system32\nwiz.exe e:\quicktime\qttask.exe (Apple Inc.) e:\winamp\winampa.exe 003 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys) ----------------------------------------------------------------- * c:\programme\gemeinsame dateien\ahead\lib\nmbgmonitor.exe (Nero AG) * e:\daemon tools\daemon.exe (DT Soft Ltd.) - e:\winamp\winamp remote\bin\orbtray.exe e:\veohtv\veohclient.exe (Veoh Networks) 005 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart -------------------------------------------------------------------------- - Corrupt shortcut 010 HKLM\SYSTEM\CurrentControlSet\Services (Services) ----------------------------------------------------- * e:\ad-aware 2007\aawservice.exe (Ad-Aware 2007 Service) c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe (Apple Mobile Device) c:\programme\avira\antivir personaledition classic\avguard.exe (Avira AntiVir Personal – Free Antivirus Guard) c:\programme\avira\antivir personaledition classic\sched.exe (Avira AntiVir Personal – Free Antivirus Planer) * c:\programme\ipod\bin\ipodservice.exe (iPod-Dienst) * c:\programme\nero\nero 7\nero backitup\nbservice.exe (NBService) * c:\programme\gemeinsame dateien\ahead\lib\nmindexingservice.exe (NMIndexingService) - e:\trend\pccpfw.exe (Trend Micro Personal Firewall) - e:\trend\tmproxy.exe (Trend Micro Proxy Service) - e:\trend\tmntsrv.exe (Trend NT Realtime Service) 011 HKLM\SYSTEM\CurrentControlSet\Services (drivers) ---------------------------------------------------- c:\windows\system32\drivers\nsdriver.sys (Ad-Watch Connect Kernel Filter) c:\windows\system32\drivers\awrtrd.sys (Ad-Watch Registry Kernel Filter) - c:\windows\system32\drivers\aji1t7wl.sys (aji1t7wl) c:\windows\system32\drivers\aslm75.sys (aslm75) * c:\programme\avira\antivir personaledition classic\avgio.sys (avgio) * c:\programme\avira\antivir personaledition classic\avgntflt.sys (avgntflt) * C:\WINDOWS\system32\drivers\avipbb.sys (avipbb) c:\windows\system32\drivers\awrtpd.sys (AW Real-Time Scanner) - c:\windows\system32\drivers\changer.sys (Changer) - c:\windows\system32\drivers\tm_cfw.sys (Common Firewall Driver) c:\windows\system32\drivers\eio.sys (EIO) * C:\WINDOWS\system32\drivers\gearaspiwdm.sys (GEARAspiWDM) - j:\install\gmsipci.sys (GMSIPCI) - c:\windows\system32\drivers\i2omgmt.sys (i2omgmt) - c:\windows\system32\drivers\lbrtfdc.sys (lbrtfdc) - c:\windows\system32\drivers\pcidump.sys (PCIDump) - c:\windows\system32\drivers\pdcomp.sys (PDCOMP) - c:\windows\system32\drivers\pdframe.sys (PDFRAME) - c:\windows\system32\drivers\pdreli.sys (PDRELI) - c:\windows\system32\drivers\pdrframe.sys (PDRFRAME) C:\WINDOWS\system32\drivers\rdsdrv.sys (rdsdrv) C:\WINDOWS\system32\drivers\sptd.sys (sptd) C:\WINDOWS\system32\drivers\ssmdrv.sys (ssmdrv) - c:\windows\system32\drivers\tmxpflt.sys (Tmfilter) - c:\windows\system32\drivers\tmpreflt.sys (Tmpreflt) - c:\windows\system32\drivers\tmtdi.sys (Trend Micro TDI Driver) - c:\windows\system32\drivers\vsapint.sys (Vsapint) - c:\windows\system32\drivers\wdica.sys (WDICA) 041 HKLM-HKCU\Software\Microsoft\Internet Explorer\Toolbar ---------------------------------------------------------- e:\veohtv\plugins\reg\veohtoolbar.dll (Veoh Networks Inc) {D0943516-5076-4020-A3B5-AEFAF26AB263} 052 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects ---------------------------------------------------------------------------------- GUID / CLSID not found {CB600FC3-054C-46DC-AE36-C1046F29A828} * g:\bitcomet\tools\bitcometbho_1.1.9.24.dll (BitComet) {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} 061 HKLM-HCKU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved --------------------------------------------------------------------------------- - deskpan.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} c:\windows\system32\nvshell.dll {1CDB2949-8F65-4355-8456-263E7C208A5D} c:\windows\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47} * e:\itunes\itunesminiplayer.dll (Apple Inc.) {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} * c:\programme\nero\nero 7\nero coverdesigner\coveredextension.dll (Nero AG) {97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} * c:\programme\gemeinsame dateien\ahead\lib\nerodigitalext.dll (Nero AG) {B327765E-D724-4347-8B16-78AE18552FC3} * c:\programme\gemeinsame dateien\ahead\lib\nerodigitalext.dll (Nero AG) {7F1CF152-04F8-453A-B34C-E609530A9DC8} c:\windows\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48} c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} e:\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} 062 HKLM-HKCU\Software\Classes\Folder\Shellex\ColumnHandlers ------------------------------------------------------------ GUID / CLSID not found {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} * c:\programme\gemeinsame dateien\ahead\lib\nerodigitalext.dll (Nero AG) {7D4D6379-F301-4311-BEBA-E26EB0561882} c:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627} 063 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute --------------------------------------------------------------------- C:\WINDOWS\system32\lsdelete.exe 073 %windir%\Tasks ------------------ AppleSoftwareUpdate.job : c:\programme\apple software update\softwareupdate.exe (Apple Inc.) 100 Internet Explorer settings ------------------------------ Start Page HKCU : h..p://google.daemonsearch.com/intl/ 104 HKLM\Software\Microsoft\Code Store Database\Distribution Units ------------------------------------------------------------------ GUID / CLSID not found {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} c:\progra~1\gemein~1\nullsoft\activex\2.4\ampx.dll {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} 105 HKCU\Software\Microsoft\Internet Explorer\MenuExt ----------------------------------------------------- &D&ownload &with BitComet : res://G:\BitComet\BitComet.exe/AddLink.htm &D&ownload all video with BitComet : res://G:\BitComet\BitComet.exe/AddVideo.htm &D&ownload all with BitComet : res://G:\BitComet\BitComet.exe/AddAllLink.htm Nach Microsoft E&xel exportieren : res://E:\office\Office12\EXCEL.EXE/3000 170 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 ------------------------------------------------------------------------ {2f4dcf5c-01ba-11dd-9273-806d6172696f} : J:\setup.exe 173 HKCR\*\shellex\ContextMenuHandlers -------------------------------------- * c:\programme\nero\nero 7\nero coverdesigner\coveredextension.dll (Nero AG) {73FCA462-9BD5-4065-A73F-A8E5F6904EF7} * c:\programme\nero\nero 7\nero backitup\nbshell.dll (Nero AG) c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} e:\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} 221 HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers ------------------------------------------------------- * c:\programme\nero\nero 7\nero coverdesigner\coveredextension.dll (Nero AG) {73FCA462-9BD5-4065-A73F-A8E5F6904EF7} * c:\programme\nero\nero 7\nero backitup\nbshell.dll (Nero AG) c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} e:\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} 223 HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers -------------------------------------------------------------------------- * e:\malwarebytes' anti-malware\mbamext.dll (Malwarebytes Corporation) {57CE581A-0CB6-4266-9CA0-19364C90A0B3} 225 HKCU\Software\Classes\Folder\ShellEx\ContextMenuHandlers ------------------------------------------------------------ * e:\malwarebytes' anti-malware\mbamext.dll (Malwarebytes Corporation) {57CE581A-0CB6-4266-9CA0-19364C90A0B3} * e:\malwarebytes' anti-malware\mbamext.dll (Malwarebytes Corporation) {57CE581A-0CB6-4266-9CA0-19364C90A0B3} * c:\programme\nero\nero 7\nero backitup\nbshell.dll (Nero AG) * c:\programme\nero\nero 7\nero backitup\nbshell.dll (Nero AG) c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} c:\programme\avira\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} e:\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} e:\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} 227 HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers --------------------------------------------------------------- e:\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} 229 HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers -------------------------------------------------------------------------- c:\windows\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48} 230 HKCU\Software\Classes\Folder\Shellex\ColumnHandlers ------------------------------------------------------- GUID / CLSID not found OpenOffice.org Column Handler 231 HKLM\Software\Classes\Folder\Shellex\ColumnHandlers ------------------------------------------------------- * c:\programme\gemeinsame dateien\ahead\lib\nerodigitalext.dll (Nero AG) NeroDigitalExt.NeroDigitalColumnHandler c:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.dll (Adobe Systems, Inc.) PDF Column Info _____________________________________________________________________________________________________________ |
Zitat:
Lade bitte folgende Dateien bei VirusTotal hoch und poste jeweils das ganze Ergebnis: Zitat:
Zitat:
|
also naja betroffen war. ich hatte die datei in quarantäne gesteckt. seitdem kommt keine warnung mehr von antivir. und eine frage, ich weiß nicht wie ich die dateien bei virustotal hochladen kann, weil diese beiden dateien nicht existieren :/. ich könnte die stnkkrpc.dll höchstens aus der quarantäne aus wiederherstellen, aber dann kommt bestimmt wieder die warnung von antivir. und die andere datei aji1t7wl.sys, diese existiert auch nicht, aber keine ahnung was mit der ist, weil diese befindet sich nicht unter qurantäne :/ und unter dem angegebenen pfad konnte ich kein bearshare finden :( hab nur noch die install datei gelöscht grad. übrigens vielen dank für deine hilfe :) |
Dann hast du das RunScanner Log vor dem deinstallieren von Bearshare gemacht?? Bitte poste ein frisches HJT Log:daumenhoc |
hmmm ich glaub schon dass ich das nach dem runscan gemacht hatte hier der neue HJT log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:25:23, on 18.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe E:\Ad-Aware 2007\aawservice.exea C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE E:\office\Office12\GrooveMonitor.exe C:\Programme\Hp\HP Software Update\HPWuSchd2.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\spoolsv.exe E:\Itunes\iTunesHelper.exe E:\Ad-Aware 2007\AAWTray.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\Programme\Messenger\msmsgs.exe E:\veohtv\VeohClient.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\iPod\bin\iPodService.exe E:\FireFox 3\firefox.exe E:\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://google.daemonsearch.com/intl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - G:\BitComet\tools\BitCometBHO_1.1.9.24.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {CB600FC3-054C-46DC-AE36-C1046F29A828} - (no file) O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - E:\veohtv\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [GrooveMonitor] "E:\office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [hpqSRMon] E:\HP\Digital Imaging\bin\hpqSRMon.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [BearShare] "D:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "E:\Itunes\iTunesHelper.exe" O4 - HKLM\..\Run: [AAWTray] E:\Ad-Aware 2007\AAWTray.exe O4 - HKLM\..\Run: [Ad-Watch] E:\Ad-Aware 2007\Ad-Watch2007.exe O4 - HKLM\..\Run: [a0b8b1ab] rundll32.exe "C:\WINDOWS\system32\stnkkrpc.dll",b O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Orb] "E:\Winamp\Winamp Remote\bin\OrbTray.exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Veoh] "E:\veohtv\VeohClient.exe" /VeohHide O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [DAEMON Tools] "E:\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = E:\office\Office12\ONENOTEM.EXE O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: &D&ownload &with BitComet - res://G:\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://G:\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://G:\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\office\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\office\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\office\Office12\ONBttnIE.dll O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - G:\BitComet\tools\BitCometBHO_1.1.9.24.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\office\Office12\REFIEBAR.DLL O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - E:\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h++p://messenger.zone.msn.com/DE-AT/a-UNO1/GAME_UNO1.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h++p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - h++p://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\office\Office12\GrooveSystemServices.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - E:\Ad-Aware 2007\aawservice.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Trend Micro Personal Firewall (PccPfw) - Unknown owner - E:\trend\PccPfw.exe (file missing) O23 - Service: Trend NT Realtime Service (Tmntsrv) - Unknown owner - E:\trend\Tmntsrv.exe (file missing) O23 - Service: Trend Micro Proxy Service (tmproxy) - Unknown owner - E:\trend\tmproxy.exe (file missing) -- End of file - 8796 bytes |
Ok Zitat:
Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: folders to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Poste zum Schluss nochmals ein neues Hijackthis Logfile:daumenhoc |
naja das problem ist ja, dass dieser pfad nicht wirklich existiert, also im D: laufwerk habe ich gar kein ordner namens Programme, naja hoffentlich ises jetzt weg ^^ Logfile of The Avenger Version 2.0, (c) by Swandog46 h##p://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: could not open folder "D:\Programme\BearShare" Deletion of folder "D:\Programme\BearShare" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: file "C:\WINDOWS\system32\stnkkrpc.dll" not found! Deletion of file "C:\WINDOWS\system32\stnkkrpc.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. ---------------------------------------------------------------------- hier der hjt log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:06:09, on 18.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe E:\Ad-Aware 2007\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE E:\office\Office12\GrooveMonitor.exe C:\Programme\Hp\HP Software Update\HPWuSchd2.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe E:\Winamp\winampa.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe E:\Itunes\iTunesHelper.exe E:\Ad-Aware 2007\AAWTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\Programme\Messenger\msmsgs.exe E:\veohtv\VeohClient.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe E:\DAEMON Tools\daemon.exe E:\Ad-Aware 2007\Ad-Watch2007.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe E:\FireFox 3\firefox.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\iPod\bin\iPodService.exe E:\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h##p://google.daemonsearch.com/intl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h##p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h##p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h##tp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h##p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - G:\BitComet\tools\BitCometBHO_1.1.9.24.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {CB600FC3-054C-46DC-AE36-C1046F29A828} - (no file) O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - E:\veohtv\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [GrooveMonitor] "E:\office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [hpqSRMon] E:\HP\Digital Imaging\bin\hpqSRMon.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [BearShare] "D:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "E:\Itunes\iTunesHelper.exe" O4 - HKLM\..\Run: [AAWTray] E:\Ad-Aware 2007\AAWTray.exe O4 - HKLM\..\Run: [Ad-Watch] E:\Ad-Aware 2007\Ad-Watch2007.exe O4 - HKLM\..\Run: [a0b8b1ab] rundll32.exe "C:\WINDOWS\system32\stnkkrpc.dll",b O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Orb] "E:\Winamp\Winamp Remote\bin\OrbTray.exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Veoh] "E:\veohtv\VeohClient.exe" /VeohHide O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [DAEMON Tools] "E:\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = E:\office\Office12\ONENOTEM.EXE O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: &D&ownload &with BitComet - res://G:\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://G:\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://G:\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\office\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\office\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\office\Office12\ONBttnIE.dll O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - G:\BitComet\tools\BitCometBHO_1.1.9.24.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\office\Office12\REFIEBAR.DLL O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - E:\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://h#tp://messenger.zone.msn.com.../GAME_UNO1.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://ht##p://messenger.zone.msn.co...t.cab56907.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://ht##p://pdl.stream.aol.com/do...ampx_en_dl.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\office\Office12\GrooveSystemServices.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - E:\Ad-Aware 2007\aawservice.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Trend Micro Personal Firewall (PccPfw) - Unknown owner - E:\trend\PccPfw.exe (file missing) O23 - Service: Trend NT Realtime Service (Tmntsrv) - Unknown owner - E:\trend\Tmntsrv.exe (file missing) O23 - Service: Trend Micro Proxy Service (tmproxy) - Unknown owner - E:\trend\tmproxy.exe (file missing) -- End of file - 8915 bytes |
Bin ich blöd??? :headbang::confused: Kannst du diese Datei finden? Zitat:
Wird dir noch Malware gemeldet? ATF - Cleaner
|
Liste der Anhänge anzeigen (Anzahl: 1) also momentan wird mir nix gemeldet. aber diese stnkkrpc.dll existiert nicht mehr. bei jedem neustart wird auch diese fehlermeldung angezeigt, dass die stnkkrpc.dll nicht gefunden werden konnte. und ein weiteres problem. ich kann kein winamp mehr öffnen. immer wenn ich versuche es zu starten kommt eine fehlermeldung. irgendwie scriptfailure ich kopier das mal rein das bild hm man kajnn irgendwie kein bild mehr reineditieren sry. egal dann zitiere ich was da drin steht^^ "Script Failure. Press left mouse button to continue. Guru Meditation #0021.001402C3.8 Script Fatal Error scripts/configtarget.maki" |
Ok gut. Dann fixe mit HJT folgende Einträge: Zitat:
|
Zitat:
Ansonsten lösche mal folgende Datei Zitat:
Mit dem löschen dieser Datei, werden diese zurückgesetzt |
ok, also das winamp problem hat sich erledigt, habs gelöscht und neuinstalliert ^^; |
xD Ok auch gut:daumenhoc Einträge mit HJT gefixt? Bitte danach neues Log:daumenhoc |
jup hab gefixt heir das neue log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:31:14, on 18.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe E:\Ad-Aware 2007\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\SOUNDMAN.EXE E:\office\Office12\GrooveMonitor.exe C:\Programme\Hp\HP Software Update\HPWuSchd2.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe E:\Itunes\iTunesHelper.exe E:\Ad-Aware 2007\AAWTray.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\nvsvc32.exe E:\veohtv\VeohClient.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\WINDOWS\system32\wuauclt.exe E:\FireFox 3\firefox.exe E:\WinAmp\winampa.exe E:\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://google.daemonsearch.com/intl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - G:\BitComet\tools\BitCometBHO_1.1.9.24.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - E:\veohtv\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [GrooveMonitor] "E:\office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [hpqSRMon] E:\HP\Digital Imaging\bin\hpqSRMon.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "E:\Itunes\iTunesHelper.exe" O4 - HKLM\..\Run: [AAWTray] E:\Ad-Aware 2007\AAWTray.exe O4 - HKLM\..\Run: [Ad-Watch] E:\Ad-Aware 2007\Ad-Watch2007.exe O4 - HKLM\..\Run: [WinampAgent] E:\WinAmp\winampa.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Orb] "E:\Winamp\Winamp Remote\bin\OrbTray.exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Veoh] "E:\veohtv\VeohClient.exe" /VeohHide O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [DAEMON Tools] "E:\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = E:\office\Office12\ONENOTEM.EXE O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: &D&ownload &with BitComet - res://G:\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://G:\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://G:\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\office\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\office\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\office\Office12\ONBttnIE.dll O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - G:\BitComet\tools\BitCometBHO_1.1.9.24.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\office\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h++p://messenger.zone.msn.com/DE-AT/a-UNO1/GAME_UNO1.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h++p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - h++p://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\office\Office12\GrooveSystemServices.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - E:\Ad-Aware 2007\aawservice.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Trend Micro Personal Firewall (PccPfw) - Unknown owner - E:\trend\PccPfw.exe (file missing) O23 - Service: Trend NT Realtime Service (Tmntsrv) - Unknown owner - E:\trend\Tmntsrv.exe (file missing) O23 - Service: Trend Micro Proxy Service (tmproxy) - Unknown owner - E:\trend\tmproxy.exe (file missing) -- End of file - 8296 bytes ------------------------------------------------------------------ aber irgendwie kam grad eine neue virenmeldung -.- (TR/Trash.Gen).betroffen war diese datei (A0042199.exe) im system volume information ordner daraufhin hab ich dann wieder nen virenscan gemacht. und jeetzt sind es wieder 0 funde |
Zitat:
Wurde der Virus in den Temporären gefunden? Wenn nicht, wo dann? Und was hast du zu diesem Zeitpunkt gemacht? Mach bitte auch noch nen Scan mit eScan und poste das Log:daumenhoc Das Log sieht soweit ok aus:daumenhoc Lass mal bitte noch Blacklight laufen. |
der virus wurde im c:\Sytstem Volume Information ordner gefunden naja der log von escan ist ziemlich lang vorallem, weil der jede einzdelne datei auflistet die er gescannt hat gescannt hat aber escan hat ziemlich viele vire gefunden muss ich sagen, meistens immer den selben trojan downloader und blacklight kann ich irgendwie nicht runterladen, der download existiert irgendwie nicht mehr, wenn ich auf downloaden klicke ... :/ naja ist einfach zu lang um den text einzufügen und um die datei anzuhängen ist sie auch zu groß :/ naja ich kopiere dir mal nur die sachen rein, die im c ordner gefunden wurden 18 Aug 2008 23:03:55 - Datei C:\WINDOWS\system32\IEDFix.exe//PE_Patch.UPX//UPX infiziert durch den Virus "Hoax.Win32.Renos.vaoz"! Maßnahme ergriffen: Keine Maßnahme ergriffen. 18 Aug 2008 23:38:02 - Datei C:\System Volume Information\_restore{D636A94E-76C2-4AD1-9644-9368107FA214}\RP140\A0020370.dll markiert als "not-a-virus:AdWare.Win32.HotBar.ck". Maßnahme ergriffen: Keine Maßnahme ergriffen. 18 Aug 2008 23:38:07 - Datei C:\System Volume Information\_restore{D636A94E-76C2-4AD1-9644-9368107FA214}\RP143\A0020442.exe markiert als "not-a-virus:FraudTool.Win32.XPAntivirus.nm". Maßnahme ergriffen: Keine Maßnahme ergriffen. 18 Aug 2008 23:38:07 - Datei C:\System Volume Information\_restore{D636A94E-76C2-4AD1-9644-9368107FA214}\RP143\A0020443.exe//stream//Script infiziert durch den Virus "Trojan-Downloader.Win32.FraudLoad.vaxg"! Maßnahme ergriffen: Keine Maßnahme ergriffen. 18 Aug 2008 23:39:14 - Datei C:\System Volume Information\_restore{D636A94E-76C2-4AD1-9644-9368107FA214}\RP149\A0020941.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.FakeInstaller.a". Maßnahme ergriffen: Keine Maßnahme ergriffen. 18 Aug 2008 23:40:22 - Datei C:\System Volume Information\_restore{D636A94E-76C2-4AD1-9644-9368107FA214}\RP158\A0042203.dll infiziert durch den Virus "Trojan.Win32.Monder.cwr"! Maßnahme ergriffen: Keine Maßnahme ergriffen. 18 Aug 2008 23:40:22 - Datei C:\System Volume Information\_restore{D636A94E-76C2-4AD1-9644-9368107FA214}\RP158\A0042204.dll (????) wird gescannt 18 Aug 2008 23:40:22 - Datei C:\System Volume Information\_restore{D636A94E-76C2-4AD1-9644-9368107FA214}\RP158\A0042205.dll wird gescannt 18 Aug 2008 23:40:22 - Datei C:\System Volume Information\_restore{D636A94E-76C2-4AD1-9644-9368107FA214}\RP158\A0042205.dll infiziert durch den Virus "Trojan.Win32.Monder.cwr"! Maßnahme ergriffen: Keine Maßnahme ergriffen. 18 Aug 2008 23:40:22 - Datei C:\System Volume Information\_restore{D636A94E-76C2-4AD1-9644-9368107FA214}\RP158\A0042206.dll wird gescannt 18 Aug 2008 23:40:22 - Datei C:\System Volume Information\_restore{D636A94E-76C2-4AD1-9644-9368107FA214}\RP158\A0042206.dll infiziert durch den Virus "Trojan.Win32.Monder.cwr"! Maßnahme ergriffen: Keine 18 Aug 2008 23:47:45 - Datei C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\copycd.wmv infiziert durch den Virus "Trojan-Downloader.WMA.GetCodec.d"! Maßnahme ergriffen: Keine Maßnahme ergriffen. 18 Aug 2008 23:47:45 - Datei C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\mdlib.wmv wird gescannt 18 Aug 2008 23:47:45 - Datei C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\mdlib.wmv infiziert durch den Virus "Trojan-Downloader.WMA.GetCodec.d"! Maßnahme ergriffen: Keine Maßnahme ergriffen. 18 Aug 2008 23:47:45 - Datei C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\nuskin.wmv wird gescannt 18 Aug 2008 23:47:45 - Datei C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\nuskin.wmv infiziert durch den Virus "Trojan-Downloader.WMA.GetCodec.d"! Maßnahme ergriffen: Keine Maßnahme ergriffen. 18 Aug 2008 23:47:45 - Datei C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\rtuner.wmv wird gescannt 18 Aug 2008 23:47:45 - Datei C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\rtuner.wmv infiziert durch den Virus "Trojan-Downloader.WMA.GetCodec.d"! Maßnahme ergriffen: Keine Maßnahme ergriffen. 18 Aug 2008 23:47:45 - Datei C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\viz.wmv wird gescannt 18 Aug 2008 23:47:45 - Datei C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\viz.wmv infiziert durch den Virus "Trojan-Downloader.WMA.GetCodec.d"! Maßnahme ergriffen: Keine Maßnahme ergriffen. 18 Aug 2008 23:58:42 - Datei C:\WINDOWS\system32\IEDFix.exe//PE_Patch.UPX//UPX infiziert durch den Virus "Hoax.Win32.Renos.vaoz"! Maßnahme ergriffen: Keine Maßnahme ergriffen. 18 Aug 2008 23:59:16 - Datei C:\WINDOWS\system32\oobe\images\title.wma infiziert durch den Virus "Trojan-Downloader.WMA.GetCodec.d"! Maßnahme ergriffen: Keine Maßnahme ergriffen. |
so ich habe bei antivir mal die einstellungen gemacht wie in diesem forum beschrieben. nun hat er viele viren gefunden und auch gelöscht bzw. in qurantäne verschoben. daraufhin hab ich escan laufen lassen. jetzt hat escan nur noch 35 viren gefunden. davor waren es noch 400 oder mehr ^^;;; das log ist dennoch zu lang um es hierreinzuposten :/ |
vorhin hatte ich malwarebytes laufen lassen, da hatte er wieder 4 infizierte objekte gefunden. die 4 habe ich dann auch gelöscht. hab es grad nochmal laufen lassen. und diesmal hat er nichts mehr gefunden das ist der log, wo er 4 infizierte daten fand Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1054 Windows 5.1.2600 Service Pack 3 19:39:24 19.08.2008 mbam-log-8-19-2008 (19-39-24).txt Scan-Methode: Vollständiger Scan (D:\|) Durchsuchte Objekte: 34020 Laufzeit: 1 minute(s), 6 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Delete on reboot. C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\logo1_.exe (Worm.Viking) -> Delete on reboot. C:\WINDOWS\system32\systems.txt (Trojan.FakeAlert) -> Delete on reboot. ------------------------------------------------------------------- und hier der log danach. als er dann nix mehr fand Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1054 Windows 5.1.2600 Service Pack 3 21:27:45 19.08.2008 mbam-log-8-19-2008 (21-27-45).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|) Durchsuchte Objekte: 92426 Laufzeit: 23 minute(s), 54 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Okey... Also deaktiviere mal deine Systemwiederherstellung, reboote und aktiviere sie wieder:daumenhoc Sollte die im "system volume information" beseitigen:daumenhoc Gmer scannen lassen Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
|
oki hier ist das log von gmer (ich habs nicht im abgesichertem modus durchlaufen lassen, ich hoffe das es nicht schlimm ist) GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2008-08-19 23:47:48 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT F7B905EC ZwCreateThread SSDT F7B905D8 ZwOpenProcess SSDT F7B905DD ZwOpenThread SSDT F7B905E7 ZwTerminateProcess SSDT F7B905E2 ZwWriteVirtualMemory ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xED 0x87 0x9D 0xBC ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 E:\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xF2 0x90 0x47 0x3D ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x56 0xCD 0x5B 0x1F ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xED 0x87 0x9D 0xBC ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 E:\DAEMON Tools\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xF2 0x90 0x47 0x3D ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x56 0xCD 0x5B 0x1F ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xED 0x87 0x9D 0xBC ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 E:\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xF2 0x90 0x47 0x3D ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x56 0xCD 0x5B 0x1F ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xED 0x87 0x9D 0xBC ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 E:\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xF2 0x90 0x47 0x3D ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x56 0xCD 0x5B 0x1F ... ---- EOF - GMER 1.0.14 ---- |
Hast du das mit der Systemwiederherstellung gemacht? Hast du noch irgendwelche Probleme? |
ja das mit der systemwiederherstellung hatte ich auch gemacht also ich muss sagen momentan gibt es keinerlei probleme. du weißt gar nicht wie es mich freut, das endlich alles sauber ist ^^ ich muss dir unendlich viel danken. danke.danke.danke.danke :D |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:18 Uhr. |
Copyright ©2000-2025, Trojaner-Board