Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   VIRUS ALERT! neben Windows Uhr, Kein Zugriff auf Sytemsteuerung und Task-Manager (https://www.trojaner-board.de/58177-virus-alert-neben-windows-uhr-kein-zugriff-sytemsteuerung-task-manager.html)

Indoril 19.08.2008 14:57
VIRUS ALERT! neben Windows Uhr, Kein Zugriff auf Sytemsteuerung und Task-Manager
 
Hallo liebe Leute,

ich hoffe ihr könnt mir helfen. Hier ein Kurzabriss meiner Symptome/Fehlermeldungen:


:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

- "VIRUS ALERT!" neben Uhr in Taskleiste

- blinkendes Symbol Roter Kreis mit weißem Kreuz in der Taskleiste

- Beschnittenes Startmenü (Systemsteuerung und Netzwerkumgebung sind nicht mehr vorhanden)

- Taskmanger nach Neustart nicht mehr abrufbar:"Der Taskmanager wurde durch den Administrator deaktiviert", dieses Problem ist korregierbar durch Kaspersky AV 2009 - Protection -Sytem Security - Security Analyzer. Ich kann dann wieder auf den Taskmanager zugreifen, nach einem Neustart tritt das Problem jedoch wieder auf

- Nach jedem Neustart erscheinen, trotz vorherigem löschen, 3 Desktop-Icons: "Spyware&MalwareProtection", "Error Cleaner" und "Privacy Protector"
(alle drei sind verknüpft mit "http://viruswebprotect2008.com/shandler.php?sid=0&aid=0&said=0&pn=0&sg=2"

- Windows-Fehlermeldung "SYSTEM ALERT" poppt immer wieder auf (ca. alle 2 Minuten), ist laut Taskmanager an Prozess EXPLORER.EXE gebunden

- Windows-Fehlermeldung "Windows Security Alert" poppt immer wieder auf (ca. alle 2 Minuten), ist laut Taskmanager an den Prozess CSRSS.EXE gebunden

- Laufwerkreihenfolge ist verschoben (C:\ befindet sich weit unter allen anderen LW im Explorer)

- Dateisuche über Startmenü: LW C:\ ist nicht anwählbar/wird nicht aufgeführt

- Rechner ist extrem langsam


::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Ich habe bisher nur Kasperky AV 2009 drüberlaufen lassen, der hat auch einiges gefunden:
http://www.fileden.com/files/2008/8/.../kavscreen.jpg


Mit HJT o.Ä. habe ich noch nie gearbeitet und deshalb vorerst die Finger davon gelassen. Da warte ich lieber auf konkrete Anweisung von einem der Profis hier.

Ich hoffe ihr könnt mir helfen. Ich warte auf Anweisungen.
Vielen Dank im voraus für eure Bemühungen.

LG
Indoril

Silent sharK 19.08.2008 15:04
Hi,
folge den angegebenen Schritten der Reihenfolge nach:

1.)
HijackThis Logfile posten, den Regeln entsprechend.


2.)
Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
  • Starte das Programm im abgesicherten Modus dann und lass das System dort durchsuchen. (Option 2)
  • Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

2.)
MalwareBytes Anti-Malware:
  • Lade dir MalwareBytes Anti-Malware
  • Folge den Anweisungen der Anleitung und poste das Logfile

mfg

Indoril 19.08.2008 16:44
Vielen Dank ersteinmal für die ersten Schritte. Ich habe HJT 2x durchlaufen lassen einmal normal und einmal im abgesicherten Modus.



Hier die HJT-LOGS:

HJT-LOG Normal:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:17: VIRUS ALERT!, on 19.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Phonic\Firewire\Phonic_cpl.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Anti\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: LabelCommand module - {18CB1A7B-94CD-4582-8022-ADA16851E44B} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\services\services.dll (file missing)
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: QXK Olive - {CF94DBF9-B064-4473-8C40-BC68145805DA} - C:\WINDOWS\mesdxbrqetg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: vwsrfton - {2969BC53-0B3D-4043-9C3C-ED7D3945C23D} - C:\WINDOWS\vwsrfton.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Phonic Control Panel.lnk = C:\Programme\Phonic\Firewire\Phonic_cpl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206473220146
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: karina.dat,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O21 - SSODL: tpabfelq - {8454EFE8-CA99-46C6-BD98-4D57DB0DAD7A} - C:\WINDOWS\tpabfelq.dll
O21 - SSODL: wbqxfpgl - {E3799E18-C355-44C1-87F0-C6B2C14413C0} - C:\WINDOWS\wbqxfpgl.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: dlcf_device -  - C:\WINDOWS\system32\dlcfcoms.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6025 bytes
HJT-LOG Abgesichert:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:37: VIRUS ALERT!, on 19.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Anti\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: LabelCommand module - {18CB1A7B-94CD-4582-8022-ADA16851E44B} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\services\services.dll (file missing)
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: QXK Olive - {CF94DBF9-B064-4473-8C40-BC68145805DA} - C:\WINDOWS\mesdxbrqetg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: vwsrfton - {2969BC53-0B3D-4043-9C3C-ED7D3945C23D} - C:\WINDOWS\vwsrfton.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Phonic Control Panel.lnk = C:\Programme\Phonic\Firewire\Phonic_cpl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206473220146
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: karina.dat,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O21 - SSODL: tpabfelq - {8454EFE8-CA99-46C6-BD98-4D57DB0DAD7A} - C:\WINDOWS\tpabfelq.dll
O21 - SSODL: wbqxfpgl - {E3799E18-C355-44C1-87F0-C6B2C14413C0} - C:\WINDOWS\wbqxfpgl.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: dlcf_device -  - C:\WINDOWS\system32\dlcfcoms.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5377 bytes


SmitfraudFix.exe:

- habe alles nach anleitung gemacht. funktionierte jedoch beim anklicken nicht wie in der Anleitung beschrieben. SmitfraudFix legte stattdessen einen Ordner mit Dateien an. Vielleicht hast du ja eine erklärung dafür. Hier ein Screen: http://www.fileden.com/files/2008/8/...smitscreen.jpg

Jedoch sind nach dem Neustart im Normalmodus folgende Symptome verschwunden:

- VIRUS ALERT! bei der Uhr = weg
- Blinkendes Kreis mit Kreuz Symbol = weg
- Desktop-Icons (die 3 bösen) = weg
- Beschnittenes Startmenü = wieder normal (Systemsteuerung verfügbar)
- Taskmanagerzugriff = wieder möglich auch ohne vorherigen Fix durch Kaspersky
- Rechner ist wieder schnell
- Laufwerksreihenfolge im Explorer stimmt wieder
- LW C:\ in der Dateisuche wiedr anwählbar

Kurz: die Symptome sind bekämpft.

Ich lasse grade nochmal Malwarebytes Anti-Malware durchlaufen. Das dauert ja noch, hat aber bisher 5 infizierte Objekte gefunden.

So weit, so gut. Ich hoffe du kannst was mit den geposteten Logs anfangen und hast vllt auch eine Erklärung für die SmitfraudFix-Sache.

Ich warte auf weitere Anweisungen. Vielen Dank nochmals!! Ich glaube bald wird alles gut :)



LG
Indoril

Silent sharK 19.08.2008 16:53
Hi,
ein Logfile reicht, das im normalen Modus.
Zu SmitfraudFix.
hast du es im abgesicherten Modus geöffnet?
Hättest du nämlich machen sollen, steht ja da.
Die angelegten Dateien sind i.O.

mfg

Indoril 19.08.2008 17:04
Ja ich habe es erst im abgesicherten gestartet, als die exe nur das verzeichnis anlegete habe ich es auch nochmal im normalen modus versucht. das gleiche.

Silent sharK 19.08.2008 17:08
Gehe in den Safe Mode und klicke auf dei SmitfraudFix.cmd.
Dann klappt es auch, Option 2 nicht vergessen.

Indoril 19.08.2008 18:45
So. Ich habe den MalwareBytes Scan erst zuende laufen lassen und dann nochmal im abgesicherten SmitfraudFix probiert. War etwas umständlich. Man muss im abgesicherten Modus Eingabeauforderung öffenen. sich in das verzeichnis begeben in dem die Smitfraudfix.cmd liegt und diese durch Eingabe starten. Es hat aber funktioniert. Danke :)

Hier der Rapport von SmitfraudFix:

Code:
SmitFraudFix v2.338

Scan done at 19:36:29,12, 19.08.2008
Run from C:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1      localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS3\Services\Tcpip\..\{1925460E-D554-4C55-967A-F64FA1558E37}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done.
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End






Hier die MalwareBytes Anti-Malware Log-File:

Code:
Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1062
Windows 5.1.2600 Service Pack 3

19:24:15 19.08.2008
mbam-log-08-19-2008 (19-24-15).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 143967
Laufzeit: 1 hour(s), 6 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 15
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{18cb1a7b-94cd-4582-8022-ada16851e44b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{8b8df25f-2c47-4473-8e1c-7f54ac7ef481} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18cb1a7b-94cd-4582-8022-ada16851e44b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{56e19e17-1157-4e10-8599-f0a1a04d06aa} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9c322641-2421-4304-9aa6-5fceed2919a3} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{2969bc53-0b3d-4043-9c3c-ed7d3945c23d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{85daf280-fd77-4b4d-b6d8-432946147249} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{6c1e7abb-b090-47f1-84d6-6fd871f33f38} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{df560ae5-e29e-40de-a918-161979565ee1} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{cf94dbf9-b064-4473-8c40-bc68145805da} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{cf94dbf9-b064-4473-8c40-bc68145805da} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\vwsrfton.bxwe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\vwsrfton.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{2969bc53-0b3d-4043-9c3c-ed7d3945c23d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2) Good: (h**p://www.google.com/) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\RevolutionSwitcher1.0.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\epxm.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\vwsrfton.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\mesdxbrqetg.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.
nicht vergessen, ich habe erst malwarebytes durchlaufen lassen und dann smitfraudfix.
wars das etwa schon oder muss ich jetzt noch was machen?

danke danke danke!!! :)


LG
Indoril

Silent sharK 19.08.2008 18:52
Ok sieht gut aus.
Mach noch einen Durchgang mit SuperAntiSpyware - Log posten, nicht vergessen.

Dann dürfte es das gewesen sein.

mfg

Indoril 19.08.2008 20:44
SuperAntiSpyware ist fertig. hier das log:

Code:
SUPERAntiSpyware Scan Log
h**p://www.superantispyware.com

Generated 08/19/2008 at 09:29 PM

Application Version : 4.15.1000

Core Rules Database Version : 3540
Trace Rules Database Version: 1529

Scan type      : Complete Scan
Total Scan Time : 01:24:30

Memory items scanned      : 405
Memory threats detected  : 0
Registry items scanned    : 5146
Registry threats detected : 0
File items scanned        : 112267
File threats detected    : 2

Adware.Tracking Cookie
        C:\Dokumente und Einstellungen\Kev\Cookies\***@gomyhit[3].txt
        C:\Dokumente und Einstellungen\Kev\Cookies\***@gomyhit[1].txt
passt das soweit?

lg
Indo

Silent sharK 19.08.2008 20:54
Passt soweit,
hast du noch Probleme mit dem Rechner?

mfg

Indoril 19.08.2008 21:05
Nein, keinerlei Probleme! Er läuft jetzt schneller als vor dem massiven Angriff. Wer weiß was ich alles da drauf hatte! Vielken Dank für deine Hilfe!! Du hast das geschafft, was die komerziellen AntiVir und Malware-Programme nicht geschafft haben: Mir geholfen den Rechner RESTLOS CLEAN zu bekommen! :) VIELEN DANK und Gute Nacht!

Ergebenst
Indoril

Silent sharK 19.08.2008 21:15
Gut, wenn was wieder sein sollte, melde dich. ;)
AV-Programme sind eben keine Wunderwaffen,

mfg :daumenhoc


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19