|
Befall mit Antivirus XP 2008 und UPS-Virus Hallo liebe Helfer, erst einmal herzlichen Dank für dieses wundervolle Forum, wo sich auch ungeübte Benutzer wohl fühlen können. Mein Problem sind UPS-Virus (ich wartete dringend auf ein Paket) und Antivirus XP 2008 (an diesem Tag suchte ich nur eine Telefonnummer). Ich hatte einen Bildschirmschoner, der einen Windows-Absturz simulierte, diverse Fenster mit Warnhinweisen, lästige Fenster mit Kaufofferten. Eine Systemwiederherstellung klappte ebenso nicht wie Löschungen im abgesicherten Modus (nach Selbsthilfeanleitungen aus dem Internet). Auf meinem PC läuft Windows XP SP2, Internet Explorer 6.0, AntiVir für KEN als Lizenz. AntiVir konnte mir nicht helfen aber zunächst scheinbar Ad-Aware Se personal und Spybot Search & Destroy. Beim nächsten Scan war jedoch vieles wieder da. In Ihrem Forum las ich von Malwarebytes' Anti-Malware. Ich habe es zweimal laufen lassen, anschließend HijackThis. Könnten Sie sich bitte die beigefügten drei Logfiles ansehen, ob bei mir jetzt alles in Ordnung ist? Danke schon einmal im voraus. Herzliche Grüße Ulla PS: Ich versuche, die Logfiles als Code einzufügen, in der Vorschau schaut es nicht so aus, als habe ich es richtig gemacht? Malwarebytes' Anti-Malware 1.25 Datenbank Version: 1089 Windows 5.1.2600 Service Pack 2 19:55:33 27.08.2008 mbam-log-08-27-2008 (19-55-33).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 80916 Laufzeit: 26 minute(s), 37 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 2 Infizierte Registrierungsschlüssel: 50 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 5 Infizierte Dateien: 13 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\suzkaco.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\blphcgsgj0eg4c.scr (Trojan.FakeAlert) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\suzkaco (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\ratoolbar.ietoolbar (Adware.SoftMate) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\ratoolbar.ietoolbar.1 (Adware.SoftMate) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\ratoolbar.ratoolbar (Adware.SoftMate) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\ratoolbar.ratoolbar.3 (Adware.SoftMate) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\tbsb00001.tbsb00001 (Adware.SoftMate) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\tbsb00001.tbsb00001.3 (Adware.SoftMate) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{09fc30bb-8163-4211-9ad5-e394bb821dd4} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{0abf2ab4-f61f-4034-9120-d8b81a61a476} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{0b15a970-3600-484c-ad29-da866e7b14fd} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{0ce76896-b612-465d-a5b8-a07dc1f2f596} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{119ddd5b-7b88-41d5-9156-ce69030afe61} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{1882370d-c294-4607-9ecf-2c3f0bc3fd23} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{25b18194-40d4-4640-86e2-548caeda81be} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{337740e2-8d2c-49e9-b93e-9cb52e65bd87} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{36e4149a-0923-4735-895b-1c02c410a00d} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{6ac7595f-094e-47f6-8578-39f105349fe6} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{7a8236e2-565e-44fd-9f81-9c8686365613} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{8a077461-06f2-4a9f-940e-9428ea8accbe} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{94d2ffc4-186e-4061-864e-41502c792bf0} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{9c3cf303-9d50-476d-bcc3-13e664e73a2c} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{a6d1f76e-ba02-4e05-9835-567a555e5312} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{a72cddcc-8026-489a-b6e2-11639f15760b} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{ae0e943e-37ba-405d-a2c7-1db44d3b9707} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{b42989c4-38cc-425b-95ee-26c3b34e113a} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{b511a4e5-82dc-40bb-ac16-c7af39e50b11} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{be383095-ee2d-4202-8314-02d7801bc1c2} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{c8ebda8c-2aad-4695-921c-d4c388199cce} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{d631e193-5223-4079-adea-1f72b2a8cc3e} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{eac65987-4ff5-46da-9168-fb9667153b84} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{ebd5ffc6-b42a-4eb0-a72d-0ee23d3aeb65} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{18d4ca2d-e313-49c5-8b15-65ded4540663} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{7e9746a6-fcd9-468c-8e65-84fb7571703e} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\xbtb03004.ietoolbar (Adware.SoftMate) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\xbtb03004.ietoolbar.1 (Adware.SoftMate) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\xbtb03004.xbtb03004 (Adware.SoftMate) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\xbtb03004.xbtb03004.3 (Adware.SoftMate) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{00bbc39a-b87b-4d5b-82fd-15bfb89be9a0} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{055cd4ae-97b0-40c3-ba50-ba24084b43de} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{165cc0ae-37b0-49c3-bacf-bad4080b432d} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{9ebb289a-2d7b-465b-825f-1530b813e95a} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{cd5c92ae-97b0-4bc3-ba65-ba0308d543bf} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{f5bb069a-a87b-485b-82da-155ab8d7e94b} (Adware.DosPopToolbar) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Rootkit.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcgsgj0eg4c (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhclsgj0eg4c (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINDOWS\system32\suzkaco.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\blphcgsgj0eg4c.scr (Trojan.FakeAlert) -> Delete on reboot. C:\Programme\RA-MICRO\RAToolbar\tbhelper.dll (Trojan.BHO) -> Quarantined and deleted successfully. C:\WINDOWS\system32\lphcgsgj0eg4c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\phcgsgj0eg4c.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\pphcgsgj0eg4c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\Temp\.ttC.tmp.exe (Trojan.FakeAlert) -> Delete on reboot. C:\WINDOWS\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Temp\.tt7.tmp (Trojan.Downloader) -> Delete on reboot. C:\WINDOWS\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. Malwarebytes' Anti-Malware 1.25 Datenbank Version: 1089 Windows 5.1.2600 Service Pack 2 15:03:46 29.08.2008 mbam-log-08-29-2008 (15-03-46).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 81168 Laufzeit: 25 minute(s), 18 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Rootkit.Agent) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:01:16, on 29.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir fuer KEN!\avguard.exe C:\Programme\AntiVir fuer KEN!\sched.exe C:\WINDOWS\system32\Brmfrmps.exe C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE C:\Programme\KEN!\KENCLI.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\Programme\AntiVir fuer KEN!\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\Programme\KEN!\kentbcli.exe C:\Programme\Nero\Nero 7\InCD\NBHGui.exe C:\Programme\Nero\Nero 7\InCD\InCD.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\TeaTimer.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe C:\Programme\Nero\Nero 7\Core\nero.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.22.220:3128/ken.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.22.220:3128;https=192.168.22.220:3128;ftp=192.168.22.220:3128;socks=192.168.22.220:1080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: XBTB03004 - {C543F87B-D228-466C-8432-A6F7D1C44565} - C:\Programme\RA-MICRO\RAToolbar\ramicro_toolbar.dll O2 - BHO: RAToolbar - {EF8E1F96-FF80-4E85-AD4F-0F19166E21DB} - C:\Programme\RA-MICRO\RAToolbar\ramicro_toolbar.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\system32\khooker.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir fuer KEN!\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04e\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=http://192.168.22.220:3128/ken.html O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209107514531 O17 - HKLM\System\CCS\Services\Tcpip\..\{AC6A699E-A510-4E98-A740-7E4218267C53}: NameServer = 192.168.22.220,192.168.22.1 O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir für KEN! Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\sched.exe O23 - Service: AntiVir für KEN! Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\avguard.exe O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: SageDB 5.0 - Unknown owner - C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 8224 bytes |
Hi und :hallo: Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix
Bitte lass mal noch Blacklight laufen. Weiter Anweisungen folgen;) |
Hallo Trojan, so schnelle Hilfe habe ich nicht erwartet, danke. Ich habe SmitfraudFix und Blacklight laufen lassen. Bei Blacklight steht: scan complete, no hidden items found. Hier ist das Logfile von SmitfraudFix. Ich komme aber erst am 30.08. vormittags dazu, wieder ins Forum zu sehen. Bis dahin herzlich Grüße Ulla PS: Ich habe schon mehrere Versionen durch, um die Logfiles im Code zu schicken. Was mache ich falsch? SmitFraudFix v2.342 Scan done at 20:08:45,79, 29.08.2008 Run from C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Temp\Downloads Virenschutz\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts hosts file corrupted ! 127.0.0.1 www.legal-at-spybot.info 127.0.0.1 legal-at-spybot.info »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, following keys are not inevitably infected!!! IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» VACFix !!!Attention, following keys are not inevitably infected!!! VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix !!!Attention, following keys are not inevitably infected!!! 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix !!!Attention, following keys are not inevitably infected!!! AntiXPVSTFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," "System"="" »»»»»»»»»»»»»»»»»»»»»»»» RK »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{AC6A699E-A510-4E98-A740-7E4218267C53}: NameServer=192.168.22.220,192.168.22.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{AC6A699E-A510-4E98-A740-7E4218267C53}: NameServer=192.168.22.220,192.168.22.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{AC6A699E-A510-4E98-A740-7E4218267C53}: NameServer=192.168.22.220,192.168.22.1 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End |
Ok gut. Erstelle noch ein Log mit RunScanner:daumenhoc |
Hallo Trojan, besten Dank für die weitere Hilfe. Hier ist das Logfile von Runscanner. Ich kann erst am Montag wieder ins Forum - jedenfalls von diesem PC aus. Bis dahin ein schönes Wochenende. Ulla [CODERunscanner logfile http://www.runscanner.net * = signed file - = file not found General info ------------ Computer name : PC002 Creation time : 30.08.2008 12:53:30 Hosts <> 127.0.0.1 : 0 Hosts file location : %SystemRoot%\System32\drivers\etc IE version : 6.0.2900.2180 OS : Microsoft Windows XP OS Build : 2600 OS SP : Service Pack 2 RunScanner Version : 1.7.0.0 User Language : Deutsch (Deutschland) User rights : Administrator Windows folder : C:\WINDOWS Running processes ----------------- * C:\Programme\Lavasoft\Ad-Aware\aawservice.exe (Lavasoft) * C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe (Adobe Systems Incorporated) C:\Programme\AntiVir fuer KEN!\avguard.exe (Avira GmbH) C:\Programme\AntiVir fuer KEN!\sched.exe (Avira GmbH) C:\Programme\AntiVir fuer KEN!\avgnt.exe (Avira GmbH) * C:\WINDOWS\system32\services.exe (Microsoft Corporation) * C:\WINDOWS\System32\alg.exe (Microsoft Corporation) C:\WINDOWS\system32\Brmfrmps.exe (Brother Industries, Ltd.) * C:\WINDOWS\system32\csrss.exe (Microsoft Corporation) * C:\WINDOWS\system32\ctfmon.exe (Microsoft Corporation) * C:\WINDOWS\system32\svchost.exe (Microsoft Corporation) * C:\WINDOWS\System32\svchost.exe (Microsoft Corporation) * C:\WINDOWS\System32\svchost.exe (Microsoft Corporation) * C:\WINDOWS\System32\svchost.exe (Microsoft Corporation) * C:\WINDOWS\system32\svchost.exe (Microsoft Corporation) * C:\WINDOWS\system32\svchost.exe (Microsoft Corporation) * C:\WINDOWS\system32\svchost.exe (Microsoft Corporation) * C:\WINDOWS\System32\svchost.exe (Microsoft Corporation) * C:\WINDOWS\system32\svchost.exe (Microsoft Corporation) * C:\WINDOWS\System32\svchost.exe (Microsoft Corporation) C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe (Hewlett-Packard Development Company, L.P.) * C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe (Hewlett-Packard Development Company, L.P.) * C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe (Hewlett-Packard Development Company, L.P.) C:\WINDOWS\htpatch.exe * C:\Programme\Nero\Nero 7\InCD\InCD.exe (Nero AG) * C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe (Nero AG) C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe (Inprise Corporation) C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE (Inprise Corporation) C:\Programme\FRITZ!\IWatch.exe (AVM Berlin) C:\Programme\Java\jre1.5.0_06\bin\jusched.exe (Sun Microsystems, Inc.) C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe (Sun Microsystems, Inc.) C:\Programme\KEN!\KENCLI.EXE (AVM Berlin) C:\Programme\KEN!\kentbcli.exe (AVM Berlin) * C:\WINDOWS\system32\lsass.exe (Microsoft Corporation) C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Microsoft Corporation) C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe * C:\Programme\Nero\Nero 7\InCD\NBHGui.exe (Nero AG) C:\Programme\ScanSoft\PaperPort\pptd40nt.exe (ScanSoft, Inc.) * C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) * C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Temp\Downloads Virenschutz\RunScanner.exe (Runscanner.net) C:\Programme\Analog Devices\SoundMAX\SMAgent.exe (Analog Devices, Inc.) * C:\WINDOWS\system32\spoolsv.exe (Microsoft Corporation) * C:\Programme\TeaTimer.exe (Safer Networking Limited) * C:\WINDOWS\Explorer.EXE (Microsoft Corporation) * C:\Programme\Messenger\msmsgs.exe (Microsoft Corporation) * C:\WINDOWS\system32\winlogon.exe (Microsoft Corporation) * c:\windows\System32\smss.exe (Microsoft Corporation) C:\Programme\WinZip\WZQKPICK.EXE (WinZip Computing, Inc.) Unrated items ------------- 002 C:\Programme\AntiVir fuer KEN!\avgnt.exe (Avira GmbH) 002 C:\Programme\Brother\ControlCenter2\brctrcen.exe (Brother Industries, Ltd.) 002 C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe (ABBYY (BIT Software)) 002 C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe (Hewlett-Packard Development Company, L.P.) 002 C:\WINDOWS\htpatch.exe 002 C:\Programme\ScanSoft\PaperPort\IndexSearch.exe (ScanSoft, Inc.) 002 C:\Programme\KEN!\kentbcli.exe (AVM Berlin) 002 C:\Programme\ScanSoft\PaperPort\pptd40nt.exe (ScanSoft, Inc.) 002 C:\Programme\Brother\Brmfl04e\BrStDvPt.exe (Brother Industories, Ltd.) 002 C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Scansoft, Inc.) 002 C:\Programme\Java\jre1.5.0_06\bin\jusched.exe (Sun Microsystems, Inc.) 002 * C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) 005 * C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe (Hewlett-Packard Development Company, L.P.) 005 C:\Programme\FRITZ!\IWatch.exe (AVM Berlin) 005 C:\Programme\WinZip\WZQKPICK.EXE (WinZip Computing, Inc.) 010 C:\Programme\AntiVir fuer KEN!\avguard.exe (AntiVir für KEN! Guard) 010 C:\Programme\AntiVir fuer KEN!\sched.exe (AntiVir für KEN! Planer) 010 C:\Programme\KEN!\KENCLI.EXE (AVM KEN Klient) 010 C:\WINDOWS\system32\Brmfrmps.exe (Brother Popup Suspend service for Resource manager) 010 C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE (InterBaseGuardian) 010 C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe (InterBaseServer) 010 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Machine Debug Manager) 010 C:\Programme\Symantec\pcAnywhere\awhost32.exe (pcAnywhere Host-Modul) 010 C:\Programme\Analog Devices\SoundMAX\SMAgent.exe (SoundMAX Agent Service) 011 C:\WINDOWS\system32\drivers\sisperf.sys (Add Performance Filter Driver) 011 * C:\Programme\AntiVir fuer KEN!\avgio.sys (avgio) 011 * C:\Programme\AntiVir fuer KEN!\avgntflt.sys (avgntflt) 011 * C:\WINDOWS\system32\DRIVERS\avipbb.sys (avipbb) 011 c:\windows\System32\drivers\avmport.sys (AVMPORT) 011 C:\WINDOWS\system32\drivers\aw_host5.sys (AW_HOST) 011 c:\windows\System32\Drivers\awlegacy.sys (awlegacy) 011 C:\WINDOWS\system32\drivers\Gernuwa.sys (Gernuwa) 011 C:\WINDOWS\System32\Drivers\PxHelp20.sys (PxHelp20) 011 C:\WINDOWS\system32\drivers\sisidex.sys (sisidex) 011 C:\WINDOWS\system32\drivers\srvkp.sys (SiSkp) 011 C:\WINDOWS\system32\drivers\SSHDRV63.sys (SSHDRV63) 011 * C:\WINDOWS\system32\DRIVERS\ssmdrv.sys (ssmdrv) 011 C:\WINDOWS\System32\Drivers\Uad72.sys (Uad72) 030 C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D} 030 C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D} 030 C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D} 031 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation) {CD00020A-8B95-11D1-82DB-00C04FB1625D} 031 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation) {0A9007C0-4076-11D3-8789-0000F8105754} 035 C:\WINDOWS\system32\mscories.dll (Microsoft Corporation) {89B4C1CD-B018-4511-B0A1-5476DBF70820} 052 C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (Sun Microsystems, Inc.) {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} 052 * C:\Programme\RA-MICRO\RAToolbar\ramicro_toolbar.dll (RA-MICRO Software GmbH) {C543F87B-D228-466C-8432-A6F7D1C44565} 052 * C:\Programme\RA-MICRO\RAToolbar\ramicro_toolbar.dll (RA-MICRO Software GmbH) {EF8E1F96-FF80-4E85-AD4F-0F19166E21DB} 061 C:\Programme\Microsoft Office\Access 97\soa800.dll (Microsoft Corporation) {BB7DF450-F119-11CD-8465-00AA00425D90} 061 C:\Programme\Sonic\RecordNow! Deluxe\shlext.dll {DEE12703-6333-4D4E-8F34-738C4DCC2E04} 061 C:\Programme\AntiVir fuer KEN!\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} 061 * C:\Programme\Real\RealPlayer\rpshell.dll (RealNetworks, Inc.) {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} 061 C:\WINDOWS\system32\dfshim.dll (Microsoft Corporation) {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} 061 C:\WINDOWS\system32\dfshim.dll (Microsoft Corporation) {e82a2d71-5b2f-43a0-97b8-81be15854de8} 061 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000} 061 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79305-84BE-11CE-9641-444553540000} 061 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79306-84BE-11CE-9641-444553540000} 061 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79307-84BE-11CE-9641-444553540000} 062 C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627} 067 C:\WINDOWS\system32\PCANotify.dll (Symantec Corporation) 069 C:\WINDOWS\system32\FritzColorPort.dll (AVM Berlin GmbH) 069 C:\WINDOWS\system32\FritzPort.dll (AVM Berlin GmbH) 069 C:\WINDOWS\system32\mdimon.dll (Microsoft Corporation) 069 C:\WINDOWS\system32\awmon.dll (Symantec Corporation) 069 C:\WINDOWS\system32\Primomonnt.dll 100 Default_Page_URL HKLM : http://192.168.22.220:3128/ken.html 100 ProxyServer HKCU : http=192.168.22.220:3128;https=192.168.22.220:3128;ftp=192.168.22.220:3128;socks=192.168.22.220:1080 100 Start Page HKCU : http://www.google.de/ 104 C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll (Sun Microsystems, Inc.) {8AD9C840-044E-11D1-B3E9-00805F499D93} 104 GUID / CLSID not found {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} 104 C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll (Sun Microsystems, Inc.) {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} 104 C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll (Sun Microsystems, Inc.) {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} 105 Nach Microsoft &Excel exportieren : res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 120 NameServer {AC6A699E-A510-4E98-A740-7E4218267C53} : 192.168.22.220,192.168.22.1 153 C:\WINDOWS\system32\SYNCOR11.DLL (SoundMAX) 173 C:\Programme\AntiVir fuer KEN!\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} 173 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000} 221 C:\Programme\AntiVir fuer KEN!\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} 221 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000} 225 c:\programme\abbyy finereader 7.0 professional edition\fecmenu.dll (ABBYY (BIT Software)) {AC0DD14A-8F29-4F88-BE1D-0F0ED1B06C9F} 225 c:\programme\abbyy finereader 7.0 professional edition\fecmenu.dll (ABBYY (BIT Software)) {AC0DD14A-8F29-4F88-BE1D-0F0ED1B06C9F} 225 C:\Programme\AntiVir fuer KEN!\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} 225 C:\Programme\AntiVir fuer KEN!\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} 225 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000} 225 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000} 227 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000} 231 C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll (Adobe Systems, Inc.) PDF Column Info Missing files ------------- 002 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe 002 C:\WINDOWS\system32\khooker.exe 010 C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe "--defaults-file=C:\Programme\Sage\SageDB 5.0\server.ini" 011 C:\WINDOWS\system32\drivers\Abiosdsk.sys 011 C:\WINDOWS\system32\drivers\abp480n5.sys 011 C:\WINDOWS\system32\drivers\adpu160m.sys 011 C:\WINDOWS\system32\drivers\Aha154x.sys 011 C:\WINDOWS\system32\drivers\aic78u2.sys 011 C:\WINDOWS\system32\drivers\aic78xx.sys 011 C:\WINDOWS\system32\drivers\AliIde.sys 011 C:\WINDOWS\system32\drivers\amsint.sys 011 C:\WINDOWS\system32\drivers\asc.sys 011 C:\WINDOWS\system32\drivers\asc3350p.sys 011 C:\WINDOWS\system32\drivers\asc3550.sys 011 C:\WINDOWS\system32\drivers\Atdisk.sys 011 C:\WINDOWS\system32\drivers\cd20xrnt.sys 011 C:\WINDOWS\system32\drivers\Changer.sys 011 C:\WINDOWS\system32\drivers\CmdIde.sys 011 C:\WINDOWS\system32\drivers\Cpqarray.sys 011 C:\WINDOWS\system32\drivers\dac2w2k.sys 011 C:\WINDOWS\system32\drivers\dac960nt.sys 011 C:\WINDOWS\system32\drivers\dpti2o.sys 011 C:\WINDOWS\system32\drivers\hpn.sys 011 C:\WINDOWS\system32\drivers\i2omgmt.sys 011 C:\WINDOWS\system32\drivers\i2omp.sys 011 C:\WINDOWS\system32\drivers\ini910u.sys 011 C:\WINDOWS\system32\drivers\IntelIde.sys 011 C:\WINDOWS\system32\drivers\lbrtfdc.sys 011 C:\WINDOWS\system32\drivers\mraid35x.sys 011 C:\WINDOWS\system32\drivers\PCIDump.sys 011 C:\WINDOWS\system32\drivers\PDCOMP.sys 011 C:\WINDOWS\system32\drivers\PDFRAME.sys 011 C:\WINDOWS\system32\drivers\PDRELI.sys 011 C:\WINDOWS\system32\drivers\PDRFRAME.sys 011 C:\WINDOWS\system32\drivers\perc2.sys 011 C:\WINDOWS\system32\drivers\perc2hib.sys 011 C:\WINDOWS\system32\drivers\ql1080.sys 011 C:\WINDOWS\system32\drivers\Ql10wnt.sys 011 C:\WINDOWS\system32\drivers\ql12160.sys 011 C:\WINDOWS\system32\drivers\ql1240.sys 011 C:\WINDOWS\system32\drivers\ql1280.sys 011 C:\WINDOWS\system32\drivers\Simbad.sys 011 C:\WINDOWS\system32\drivers\Sparrow.sys 011 C:\WINDOWS\system32\drivers\sym_hi.sys 011 C:\WINDOWS\system32\drivers\sym_u3.sys 011 C:\WINDOWS\system32\drivers\symc810.sys 011 C:\WINDOWS\system32\drivers\symc8xx.sys 011 C:\WINDOWS\System32\drivers\tcpsr.sys 011 C:\WINDOWS\system32\drivers\TosIde.sys 011 C:\WINDOWS\system32\drivers\ultra.sys 011 C:\WINDOWS\system32\drivers\ViaIde.sys 011 C:\WINDOWS\system32\drivers\WDICA.sys 061 deskpan.dll 073 C:\Programme\LOGIN\LOGINventory4\LOGINquiry.exe 073 C:\Programme\LOGIN\LOGINventory4\LOGINsert.exe 145 aw_host.sys ][/CODE] |
Hallo Trojan-Death, hörst Du mich da draußen? Heute morgen - Hilfe, Hilfe - starte ich den PC und sehe den Bildschirmschoner mit dem simulierten Windows-Absturz und Antivirus XP 2008 zählt dazu meine angeblichen Virusbedrohungen mit 2.889. Spybot meldet: ein wichtiger Registrierungsdatenbank-Eintrag wurde geändert: System Startup global entry, Wert hinzugefügt, Eintrag: lphcgsgj0eg4c, neue Daten: C:\WINDOWS\system32\lphcgsgj0eg4c.exe, den ich verweigere, ebenso bei der folgenden Meldung: SMrhclsgj0eg4c, C:\Programme\rhclsgj0eg4c\rhclsgj0eg4.exe Was habe ich übersehen oder falsch gemacht? Ich habe jetzt Malwarebytes durchlaufen lassen, dann noch einmal im abgesicherten Modus, danach HijackThis im Normal-Modus. Ich füge die drei Logfiles bei und wäre sehr dankbar, wenn ich weiter Hilfe bekommen könnte. Viele Grüße Ulla Code: Malwarebytes' Anti-Malware 1.25Code: Malwarebytes' Anti-Malware 1.25Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hallo Trojan-Death, wo liegt mein Fehler? Habe ich irgendwo ein Häckchen vergessen? Soll ich Spybot deinstallieren, der eine Systemsicherung gemacht hat? Ich verstehe auch nicht, Freitag nachmittag hatte ich bei MAM nur noch 1 Eintrag, am Samstag habe ich run scanner laufen lassen, danach war der PC aus und heute morgen direkt nach dem Hochfahren war alles wieder da? Ich muss doch etwas falsch machen! Ich habe jetzt noch einmal Spybot laufen lassen, der 17 Einträge gefunden hat. Danach noch einmal Malware bytes im abgesicherten Modus (5 Einträge). Dann noch einmal Hijack This im Normal-Modus. Ich würde mich sehr freuen, wenn Du Zeit hättest, noch einmal die Logfiles anzusehen. Ich kann kaum richtig arbeiten, weil im Hintergrund oft ein Virenscanner läuft und ich werde langsam nervös. Ein neues Aufsetzen des Systems dauert mit Sicherheit 1,5 Tage. Das würde ich gern vermeiden, da ich erst dazu am 13./14. September Zeit dazu hätte . Ich werde erst morgen wieder ins Forum sehen können (von diesem PC aus), bis dahin schon einmal herzlich Dank im Voraus. Ulla - langsam sich auflösend Hier sind die Logfiles: Code: Malwarebytes' Anti-Malware 1.25Code: Logfile of Trend Micro HijackThis v2.0.2 |
Hallo Trojan-Death, heute morgen, 02.09.08, hatte ich Antivirus wieder auf dem PC. Da ich im Forum gelesen hatte, dass man es im abgesicherten Modus mit der Deaktivierung der Systemwiederherstellung, anschließenden Scannen und Aktivierung der Systemwiederherstellung versuchen sollte, bin ich diesen Hinweisen gefolgt. Also: abgesicherter Modus, Deaktivierung, Spybot (17 Infekte), MAM 1 Infekt, HijackThis. Als ich die Systemwiederherstellung aktivieren wollte, bekam ich den Hinweis, das dies nur im Normalmodus möglich ist. Zurück zum Normalmodus und dann brach alles mich herein, was hier ich im Zusammenhang mit Antivirus XP 2008 schon gelelsen habe. Keine Taskleiste mehr, Systemsteuerung nicht aufrufbar, kein Internet. Ich schreibe jetzt von einem anderen PC und werde heute Nacht oder morgen früh das System neu aufsetzen. Da ich das erst zweimal gemacht habe, werd' ich noch ein bisschen darüber lesen. Ich danke Dir, dass Du Dir die Zeit für mein Problem genommen hast, ich weiß, es ist Deine, bzw. Eure Freizeit, die Ihr hier im Forum einsetzt. - Vielleicht könntest Du Dich noch einmal kurz melden? Viele Grüße Ulla |
Ich hatte die letzten Tage keine Zeit zu antworten;) Sorry dafür:) Du solltest die Eigeninitiative in Zukunft am besten sein lassen... Du siehst ja was dabei herauskommt... Soll ich deine Logfiles (RunScanner usw.) nun analysieren oder spielst du sowiso neu auf? grüsse trojan-death |
Hallo Trojan-Death, danke erst einmal für Deine Antwort. Ich bin mit dem Problem wirklich überfordert, ich muss an dem PC dringend arbeiten, habe aber keine Zeit ihn jetzt neu aufzubauen. Ich habe das auch erst zweimal gemacht. Ich habe meinen zweiten Threat geschrieben, in der Hoffnung, dass ich irgendeine Antwort erhalte. Du kannst ihn löschen bzw. löschen lassen. Der Zeitaufwand für den Neuaufbau ist hoch und ich bin unsicher. Wenn ich wüßte, dass da noch eine Chance besteht, meine Probleme auf andere Weise in den Griff zu bekommen, lass ich den Neuaufbau sein. Also, die neuen Logfiles von heute habe ich nicht hier, wo ich gerade arbeite. Ob mein befallener PC überhaupt noch ins Internet geht, weiß ich nicht. Ich könnte aber heute noch hinfahren und nachprüfen, was noch geht. Die letzten Logfiles sind von gestern. Ob die noch aussagekräftig sind, weiß ich nicht, obwohl ich das gleiche gemacht habe, nur heute mit Systemdeaktivierung. Kannst Du mir raten, was ich machen soll? Viele Grüße Ulla - fast kopflos |
Ok Bleib mal ruhig;) Die Logs sind noch genug aktuell;) Werde mir das mal anschauen und dir gleich antworten. Der unnötige Thread kannst du dem GUA melden:daumenhoc |
Ich habe leider ne schlechte Nachricht für dich... Ich würde sagen, dass bei dir ein Rootkit aktiv sein Unwesen treibt... Das einzig Sinnvolle und sicherste bei einer Rootkit infizierung ist, dass du Neuaufsetzt:( Auch in deinem ersten Log von Malwarebytes, steht das ein Rootkit enfernt wurde, was aber wahrscheinlich nicht richtig oder vollständig geschehen ist, da du bei jedem erneutem Scan mit Malwarebytes weiteres Zeug findest. Wenn du aber unbedingt nicht Neuaufsetzen möchtest, kann ich dir einfach so gut es geht helfen alles zu beseitigen. Es kann sein, dass du danach keine Probleme mehr hast (und du wieder frei von allem bist) aber ich kann dir dann für nix garantieren da ein Rootkit alles manipuliert haben könnte. Auch solltest du unbedingt alle deine Passwörter von einem "sicheren" PC aus ändern;) Wenn der Rootkit aber noch drauf ist und du Setzt nicht neu auf, dann wird er deine "neuen" Passwörter gleich wieder haben. grüsse trojan-death |
Hallo Trojan-Death, ich sehe, dass Du da bist und geschrieben hast, aber Deinen Text sehe ich nicht. Gibt es eine zeitliche Verzögerung? Bitte, ich bin Anfänger hier, wer ist GUA und wie lasse ich meinen Beitrag löschen? Unter Hilfe habe ich nichts gefunden? LG Ulla |
Zitat:
Du siehst meinen Beitrag nicht... cool mach mal "refresh" und/oder melde dich neu an;) Ansonsten schick ich dir kurz per PN Zitat:
ps. hoffe du konntest das lesen |
Hallo Trojan- Death, Deine Nachricht ist gerade gekommen. Ich werde neu aufsetzen. Ich arbeite in einem kleinen Netzwerk und möchte für die anderen kein Risiko sein. Ich sollte dann wohl die Daten auf der Festplatte vorher schreddern. Ich danke Dir wirklich sehr, dass Du mir heute Abend geholfen hast, zu einer Entscheidung zu kommen. Wenn Du mir nun noch schreibst, wie ich den zweiten Beitrag GUA melden kann? LG Ulla |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:29 Uhr. |
Copyright ©2000-2025, Trojaner-Board