Hilfe! Avir findet "tolle Sachen" ADSPY/Mostofate.CX,TR/Stuh.A,TR/Vundo.Gen Hallo, hab zZ die obigen Programme laut Avir gehabt,bzw wurden die gefunden. hier mal das Hijack Logfile Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:49:25, on 29.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS2\System32\smss.exe C:\WINDOWS2\system32\winlogon.exe C:\WINDOWS2\system32\services.exe C:\WINDOWS2\system32\lsass.exe C:\WINDOWS2\system32\svchost.exe C:\WINDOWS2\System32\svchost.exe C:\WINDOWS2\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\LSI SoftModem\agrsmsvc.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS2\system32\nvsvc32.exe C:\WINDOWS2\system32\wbem\wmiapsrv.exe C:\WINDOWS2\Explorer.EXE C:\WINDOWS2\system32\CmUCReye.exe C:\Programme\Medion Info Display\MdionLCM.exe C:\WINDOWS2\RTHDCPL.EXE C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS2\system32\ctfmon.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\Programme\iPod\bin\iPodService.exe C:\Programme\Spyware Terminator\sp_rsser.exe C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS2\system32\NOTEPAD.EXE c:\programme\avira\antivir desktop\avcenter.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS2\system32\CmUCReye.exe O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS2\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS2\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS2\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS2\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS2\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS2\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O8 - Extra context menu item: Crawler Search - tbr:iemenu O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Programme\LSI SoftModem\agrsmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS2\system32\nvsvc32.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe -- End of file - 5265 bytes Zur Leserlichkeit kommt der Malwarebericht in ´nem Antwortspost - wenn das in Ordnung ist. Vielen Dank |
mbamlog: Malwarebytes' Anti-Malware 1.35 Datenbank Version: 1916 Windows 5.1.2600 Service Pack 3 30.03.2009 00:49:31 mbam-log-2009-03-30 (00-49-31).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 321813 Laufzeit: 2 hour(s), 15 minute(s), 38 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Moin Zitat:
Überprüfe dein System bitte zusätzlich mit SASW und poste das Log hierher. MFG |
Hallo wurde wie folgt gefunden: C:\Programme\Trend Micro\HijackThis\backups\backup-20090303-001755-354.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Stuh.A In der Datei 'C:\Programme\Trend Micro\HijackThis\backups\backup-20090303-003122-386.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Stuh.A' [trojan] gefunden. In der Datei 'C:\Programme\Trend Micro\HijackThis\backups\backup-20090303-010207-361.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' In der Datei 'D:\Programme\ICQToolbar\toolbaru.dll' wurde ein Virus oder unerwünschtes Programm 'ADSPY/Mostofate.CX' [adware] gefunden. Hab danach Hijack gelöscht und der Report stammt von der neuen Installtion. |
Neues von der front: Erstmal ging SuperantiSpyware o.E. durch: SUPERAntiSpyware Scann-Protokoll Generiert 03/30/2009 bei 03:56 PM Version der Applikation : 4.26.1000 Version der Kern-Datenbank : 3819 Version der Spur-Datenbank : 1773 Scan Art : kompletter Scann Totale Scann-Zeit : 02:31:43 Gescannte Speicherelemente : 514 Erfasste Speicher-Bedrohungen : 0 Gescannte Register-Elemente : 3990 Erfasste Register-Bedrohungen : 0 Gescannte Datei-Elemente : 201396 Erfasste Datei-Elemente : 0 Danach gabs aber folgendes Avir "entdeckt": C:\ComboFix\psexec.cfexe [0] Archivtyp: RSRC --> Object [FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E //sehe grad ist vermutlich falsch positive Meldung Beginne mit der Desinfektion: C:\ComboFix\psexec.cfexe [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a35d130.qua' verschoben! Ende des Suchlaufs: 2009-03-30 16:01 Benötigte Zeit: 04:26 Minute(n) |
Hallo da ist ja schon einiges gemacht worden... Combofix und Hijackthis Einträge gefixt, was noch? Poste bitte das Combofix Log hierher und erstelle ein Log mit der Filelist. Lass aber zuerst mal den Ccleaner richtig aufräumen. Zitat:
HTML-Code: [CODE]~Logfile~[/CODE] |
Hallo hab jetzt alles so gemacht jedoch ist das System recht neu aufgesetzt deswegen gibts die 30 tage nicht direkt.... Hab die dateien als Trafficshare auf RS da die zu lang waren, hoffe das geht muss man nur nen paar Leerzeichen entfernen: Combofix: http:// rapidshare.com/files/215409763/log2.txt Cleaner ging durch und fand nix... Filelist: http:// rapidshare.com/files/215409647/filelist2.txt Ach ja Danke für die Mühe^^ P.S.: Ich geh mal davon aus das die Avir Funde falsch positiv waren, da ich sowas im Netz zu Combofix gefunden habe und das problemlos durchlief. |
bzw vermutlich so besser schmeiß die rs dinger dan mal raus... Combofix Code: ComboFix 09-03-29.04 - * 2009-03-30 19:00:46.1 - NTFSx86 |
Filelist: Code: ----- Root ----------------------------- |
Hallo also ich kann nix finden, was mich nicht schlafen lassen würde;). Zitat:
Die ICQ-Toolbar sollte auch über Start -> Einstellungen -> Systemsteuerung -> Software zu deinstallieren sein. Zitat:
Wenn sämtliche Programme nix wirkliches zu meckern haben, sollte da auch nichts mehr rumkrauchen. Deinstalliere bitte Combofix Zitat:
System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden. Anschließend Antivir updaten und Komplettüberprüfung im abgesicherten Modus (beim Start F8 drücken), berichte bitte ob und was gefunden wurde. MFG |
Hallo, Hab jetzt mal Spywareterminator und Clam Antivirus echtzeitschutz und der blockt bei jedem Start den Wurm Downadup-342 bzw. Conficker... Avir, combo usw. haben den nicht gefunden Windows Updates gehen locker durch, java ist auf den neusten stand Conficker removals finden nichts.... Irgendnee Idee was man da machen könnt bzw was das heißt? |
Alle Zeitangaben in WEZ +1. Es ist jetzt 08:55 Uhr. |
Copyright ©2000-2024, Trojaner-Board