Wie kann ich diese Viren entfernen? Liste der Anhänge anzeigen (Anzahl: 3) Guten Tag, ich habe einen Laptop von einer Bekannten bekommen auf dem sich einiges an Viren angesammelt hat. Auf dem Laptop befand sich WinXP-Home mit dem SP2. Der Rechner lief am Anfang kaum noch d.h. etliche Fehler Meldungen beim Windows Start. Nach einiger Zeit hat der PC von sich aus ganz viele Tasks geöffnet. Das erste was ich gemacht habe war alle Dinge aus dem Autostart zu schmeissen und fast alles unnötige vom PC zu werfen... (Software). Der IE und FF liesen sich auch nicht mehr ausführen. Habe erstmal das SP3 installiert danach das SP3 Winfuture Update. Danach ging FF wenigstens nach einer Neuinstalltion wieder habe Antivir drüber laufen lassen diese hat 23Viren gefunden und entfernt. Danach AVG drüber laufen lassen die hat nochmal 17 Viren gefunden und entfernt. Danach Avast drübr laufen lassen mit den höchsten Einstellungen diese hat nochmal 119 Viren gefunden davon konnte sie 72 Viren entfernen. Jetzt gingen die Microsoft Seiten wieder (aspx Seiten die vorher nicht gingen). Danach hab ich mal F-Secure via Linux drüber laufen lassen die hat nochmal 2Viren im MBR gefunden plus einen auf der Platte. Danach nochmal BartCD drüber laufen mit Avast. Diese hat auch nochmal 19 Viren gefunden und entfernt. So jetzt habe ich nochmal Avast in Windows drüber luafen lassen mit den höchsten Sicherheitseinstellungen leider findet diese immernoch 21Viren aber diese können nicht entfernt werden. Wie gehe ich jetzt vor? Das Sicherheitscenter von XP SP3 lässt sich auch nicht öffnen auch nicht über services.msg aktivieren es springt gleich auf "deaktiviert" Die restlichen automatischen XP Updates laufen wie gewohnt durch. Hier das HiJackThis Protokol und im Anhang findet ihr das Avast Ergebniss über die restlichen Viren. Ich denke ich bin schon richtig erfolgreich gewesen der Laptop funzt auch wieder wie geschmiert allerdings zeigt mir !!NUR!! Avast noch diese restlichen Viren an. Ich wäre euch echt dankbar wenn ihr mir helfen könntet. Jetzt will ich es auch zu ende bringen und nicht einfach formatieren. *eifrig bin :sword2: EDIT: "Malwarebytes-Anti-Malware" lässt sich übrigens nicht installieren. Bei jedem hochfahren bekomm ich ne Fehlermeldung das GoogleUpdate.exe nen Problem verursacht hat. Ein Eintrag lässt sich ausserdem nicht aus dem Autostart entfernen (CCleaner) Screens im Anhang. HIJACKTHIS: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:19:36, on 30.10.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Alwil Software\Avast5\AvastSvc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe C:\WINDOWS\System32\alg.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {35A5B43B-CB8A-49CA-A9F4-D3B308D2E3CC} - (no file) O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: scandisk.lnk = ? (User 'SYSTEM') O4 - .DEFAULT Startup: scandisk.lnk = ? (User 'Default user') O4 - Startup: scandisk.lnk = ? O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1256911654937 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1256911647296 O17 - HKLM\System\CCS\Services\Tcpip\..\{D753F73B-AD74-42FA-9D69-D412D8028F93}: NameServer = 192.168.2.1 O23 - Service: Warndienst AlerterALG (AlerterALG) - Unknown owner - C:\WINDOWS\TEMP\vjljrgyfms.exe (file missing) O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe O23 - Service: Google Update Service (gupdate1c9b2e728892258) (gupdate1c9b2e728892258) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 4202 bytes |
Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei Zitat:
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Benenne die mbam.exe auf “C:\Programme\Malwarebytes' Anti-Malware“in winlogon.exe um und versuchs nochmal |
:hallo: Bitte warte noch mit dem Fixen. schritt 1
schritt 2 Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
schritt 3 Rootkit-Suche Was sind Rootkits? Einige Scans auf Dateien, Prozesse u2nd Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
Nun das Logfile in Code-Tags posten. Bitte poste in Deiner nächsten Antwort Logfile von SDFix Beide Logfiles von OTL Gmer Logfile bitte nicht hochladen sondern aufteilen |
@Argus Vielen dank mit deinem Trick konnte ich "Malwarebytes-Anti-Malware" installieren und ausführen. Nach 3 durchgängen hat das Programm auch nichts mehr gefunden was ich hätte entfernen können. Unten noch mal mein aktueller HiJackThis Viren Bericht mit geschlossenem IE (und alle anderen Programme auch). Avast findet nun mit den stärksten Einstellungen auch nichts mehr. Mein System läuft wieder super. Auch das Sicherheitscenter ließ sich wieder starten und ausführen. Die "GoogleUpdate.exe" wird auch nicht mehr beim start als Fehlermeldung angeziegt. Das einzige was leider noch nicht funktioniert ist der abgesicherte Modus dort bekomm ich immer einen Bluescreen angezeigt. HiJackThis Code: Logfile of Trend Micro HijackThis v2.0.2 @Larusso Ich glaube GMER hat noch was gefunden. Schritt1 "Lade das SDFix" kann ich nicht ausführen da der abgesciherte Modus nicht funktioniert. Schritt2 OTL hier mein Ergebnis: EDIT: Kann ich nicht posten das Ergbeniss ist zu lang =( Schritt3 Gmer hier mein Ergebnis: Code: GMER 1.0.15.15163 - http://www.gmer.net |
wo sind die ganzen Logfiles? |
Sorry ich kann die OTL Ergebnisse nicht posten. Die sind irgendwie zu lang. Bin aber auf minimal Output gegangen. Auch im "Code Tag" gehts nicht. :killpc: |
Zitat:
Noch was. Was spricht gegen ein neu Installieren ? Das sieht nicht gut aus |
Sorry das is ein hin und her hier mit den Dateien. xD Teil 1: Code: OTL logfile created on: 31.10.2009 15:20:12 - Run 3 |
Teil2 Code: ========== Files/Folders - Created Within 30 Days ========== |
Teil 3 Code: [2009.10.29 19:12:31 | 00,044,928 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\agpcpq.sys |
Extras: Code: OTL Extras logfile created on: 31.10.2009 15:20:12 - Run 3 |
Was sieht denn nicht gut aus? Ist es ein Rootkit oder? Lässt sich sowas entfernen. Naja es war halt mein Ziel den Scheiss zu entfernen und nich einfach easy neu zu insatllieren. ;D :sword2: |
Okay bevor wir das Klappmesser auspacken versuchen wir es einmal anders :D Vorweg, ist eine Windows CD vorhanden ? Schritt 1 Rootkit mit AVZ Antiviral-Toolkit entfernen AVZ Antiviral Toolkit ist ein russisches Projekt, welches auch in englisch verfügbar ist. Das Programm prüft auf Viren, Adware, Spyware, Dialer, verdächtige Software (Risktools), Hacktools und Rootkits. AVZ ist ein sehr mächtiges Tool, bitte nichts "auf eigene Faust" machen. Bitte lade AVZ4 herunter und entpacke es auf den Desktop. Dort sollte sich nun der Ordner avz4 befinden.
Code: var
Poste mir bitte die Logfile |
Danke, für deine Hilfe ;D Find ich klasse aufgeben wäre jetzt blöde. :sword2: Ja, Windows CD ist vorhanden. Ich werde mich mal an die Arbeit machen. |
Jetzt komm ich mir wieder dumm vor wo finde ich die Logfile? Ist das diese? Code: Quarantine path: \??\C:\Dokumente und Einstellungen\Marion\Desktop\avz4\Quarantine\2009-10-31\ Code: [InfectedFile] |
schritt 1 Zweiter Lauf mit Gmer
schritt 2 Scan mit SystemLook Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop. Download Mirror #1 - Download Mirror #2
Poste bitte beide Logfiles |
GMER: Code: GMER 1.0.15.15163 - http://www.gmer.net Code: SystemLook v1.0 by jpshortstuff (29.08.09) |
schritt 1 Wende bitte Malwarebytes nach Anleitung an. (Quickscan reicht) schritt 2 Schliesse bitte alle laufenden Programme inkl Browser. Lösche bitte die Extra.txt von Deinem Desktop. Doppelklick auf die OTL.exe und poste beide Logfiles. |
Malwarebytes: Code: Malwarebytes' Anti-Malware 1.41 OTL Teil1: Code: OTL logfile created on: 31.10.2009 20:12:13 - Run 4 |
OTL Teil2: Code: ========== Files/Folders - Created Within 30 Days ========== |
OTL Teil3: Code: [2009.10.29 19:12:31 | 00,044,928 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\agpcpq.sys |
OTL Extras: Code: OTL Extras logfile created on: 31.10.2009 20:12:13 - Run 4 |
schritt 1 Während dieser Scans soll(en):
schritt 2 Bitte lasse die Dateien aus der Code-Box bei Virustotal überprüfen Code: C:\WINDOWS\opohyhi.com
|
Rootkitscan mit RootRepeal: Code: ROOTREPEAL (c) AD, 2007-2009 Virustotal: Wenn ich auf Filter klicke auf was muss ich jetzt klicken? EDIT: Keine der 4 Dateien ist befallen dort steht immer 0/40 oder 0/41. Kein Scanner schlägt Alarm. Code: Datei opohyhi.com empfangen 2009.10.31 20:36:14 (UTC) Code: Datei xasygufap.exe empfangen 2009.10.31 20:45:25 (UTC) Code: Datei atavu.dll empfangen 2009.10.31 20:46:44 (UTC) Code: Datei itetinune.sys empfangen 2009.10.31 20:47:37 (UTC) |
schritt 1 Grundreinigung mit SUPERAntiSpyware
schritt 2
schritt 3 Schliesse bitte alle laufenden Programme inkl Browser. Lösche bitte die Extra.txt von Deinem Desktop. Doppelklick auf die OTL.exe und poste beide Logfiles. Berichte ob der Rechner noch Probleme macht. |
SUPERAntiSpyware Code: SUPERAntiSpyware Scan Log ESET Online Scanner Code: ESETSmartInstaller@High as downloader log: |
Ich möchte noch etwas graben :) Rootkitsuche mit Avira AntiRootkit Lade Avira AntiRootkit herunter, indem Du auf den Download-Button klickst. Speichere die Datei auf Deinem Desktop.
schritt 2 Rootkitsuche mit SysProt
|
Liste der Anhänge anzeigen (Anzahl: 1) Rootkitsuche mit Avira AntiRootkit Code: Avira AntiRootkit Tool (1.1.0.1) EDIT: Was mir auffällt sind ein paar Schlüssel die mit dem Wise Regestry Cleaner immer wieder auftauchen und nicht zu löschen sind. An nem anderen PC tauchen diese Werte nicht immer wieder auf. Datei im Anhang. |
Scan mit SystemLook Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop. Download Mirror #1 - Download Mirror #2
|
System Look Scan Code: SystemLook v1.0 by jpshortstuff (29.08.09) |
Weiterer Lauf mit Gmer
|
GMER: Code: GMER 1.0.15.15163 - http://www.gmer.net |
schritt 1 Windows-Explorer öffnen (Windows-Taste + E) und unter => Extras => Ordneroptionen => im Reiter "Ansicht"
schritt 2 start --> ausführen --> regedit (eingeben) --> OK Folgen nun bitte folgenden Pfad. Code: HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SKYNETiornssfv Bitte kopiere mir diese Datei hier in den Thread. Das selbe bitte mit folgenden. Code: HKEY_LOCAL_MACHINE\System\ControlSet002\Services\UACd.sys Solltest Du diese nicht finden, Teile mir das bitte mit. |
Liste der Anhänge anzeigen (Anzahl: 1) Danke habe ich gemacht doch wo sehe ich jetz den "Imagepath"? Sorry die Antwort liegt bestimmt ganz nah ich sehs schon. =) Screen im Anhang. |
Klicke einmal auf UACsys :) darunter befindet sich noch einer. zmbv.. der wäre auch noch von interesse :) |
Liste der Anhänge anzeigen (Anzahl: 4) So, habe mal versucht den Schlüssel anzuklicken... Folgende Meldung kommt (im Anhang) Da drunter hab ich einfach auch nochmal den Ordner "Servises" gescreent oder ist der normal? ;D |
Keine aktive Datei mehr :) schritt 1 Grundreinigung mit SUPERAntiSpyware
schritt 2 Bereinigung mit Malwarebytes' Anti-Malware (Quick-Scan) Lade Malwarebytes Anti-Malware (ca. 2 MB) von einem dieser Downloadspiegel herunter: Malwarebytes - MajorGeeks.com - BestTechie
schritt 3
schritt 4 Schliesse bitte alle laufenden Programme inkl Browser. Lösche bitte die Extra.txt von Deinem Desktop. Doppelklick auf die OTL.exe und poste beide Logfiles. Berichte ob der Rechner noch Probleme macht :) |
Die drei Programme zeigen keinen Fund mehr. (kann ich mir die Logs sparen oder?) =) OTL Teil 1: Code: OTL logfile created on: 02.11.2009 03:01:53 - Run 5 |
OTL Teil2 Code: ========== Files/Folders - Created Within 30 Days ========== |
OTL Teil3: Code: [2009.10.29 19:12:31 | 00,044,928 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\agpcpq.sys |
OTL Extras Code: OTL Extras logfile created on: 02.11.2009 03:01:53 - Run 5 |
Wir werden nun noch ein paar seltsame Dateien löschen. Sollten Dir diese bekannt sein, teile mir bitte mit wozu diese benötigt werden. Danach sehen wir weiter. Ansonsten normal fortfahren. schritt 1 Dateien mit OTM verschieben Bitte erstelle eine Sicherung Deiner Registry (falls noch nicht gemacht) nach dieser Anleitung. Falls noch nicht vorhanden, lade Dir OTM von OldTimer herunter.
schritt 3 Kannst Du wieder in den Abgesicherten Modus booten? schritt 4 Schliesse bitte alle laufenden Programme inkl Browser. Lösche bitte die Extra.txt von Deinem Desktop. Doppelklick auf die OTL.exe und poste die Log.txt. |
OTM: Code: All processes killed Kenne keiner der gelöschten Dateien. =) Abgesicherter Modus funktioniert nicht. =( |
OTL Teil1: Code: OTL logfile created on: 02.11.2009 12:38:11 - Run 6 |
OTL Teil 2 Code: ========== Files/Folders - Created Within 30 Days ========== |
OTL Teil3: Code: [2009.10.29 19:12:31 | 00,044,928 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\agpcpq.sys |
OTL Extras Code: OTL Extras logfile created on: 02.11.2009 12:38:11 - Run 6 |
Eine kurze Frage könnte ich diese Methode anwenden um den abgesciherten Modus wieder zum laufen zu bekommen? Code: Sollte einmal der Fall auftreten das Windows nach dem Einschalten nicht mehr hochfährt und auf dem Bildschirm die Meldung erscheint das kein System gefunden wurde und man soll doch eine Systemdisk einlegen, dann wird es Zeit den Bootsektor zu reparieren. 1. Das Programm OTM hat den Inhalt aller "Temp" Folder gelöscht. Das finde ich genial, in dem CClenaer finde ich diese Funktion leider nicht (Nur den von den Browsern). Kennst du ein ein Programm (möglichst schlank) welches das gleiche macht? 2. Welchen Virenscanner kannst du mir empfehlen? (Bitte Kostenfrei) Sehr hohe Priorität lege ich auf Resscourcen Sparsamkeit da ich diese meist auf älteren Rechnern installiere. Ich sage schonmal vielen vielen Dank =) Das ist ein Service hier!!! Echt erstaunlich das es sowas noch "kostenfrei" gibt. Oder flattert bald eine schöne Rechnung in meinen Briefkasten? ;D |
Also geht der abgesicherte Modus noch nicht :) Sehen wir mal nach. Kontrolle, ob Master Boot Record in Ordnung ist (MBR-Rootkit)
|
MBR: Code: Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net |
Entschuldigung, könnte sich das hier bitte mal jemand ansehen und seine Meinung mitteilen. MfG Protokoll Findykill: ----------------- FindyKill V4.005 ------------------ * User : PCS - LENOVO-ED8A7C5A * Emplacement : C:\Programme\FindyKill * Outils Mis a jours le 17/10/08 par Chiquitine29 * Recherche effectuée à 10:43:47 le 02.11.2009 * Windows XP - Internet Explorer 7.0.5730.11 ((((((((((((((((( *** Recherche *** )))))))))))))))))) --------------- [ Processus actifs ] ---------------- C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\ibmpmsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\IPSSVC.EXE C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Autodesk\Data Management Server 2008\Server\Webserver\Connectivity.EDMWS.Server.exe C:\Programme\Dassault Systemes\B11\intel_a\code\bin\CATSysDemon.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\WINDOWS\system32\FastNetSrv.exe C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe C:\Programme\FLEXlm\MDESIGN\lmgrd.exe C:\Programme\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe C:\Programme\FLEXlm\MDESIGN\lmgrd.exe C:\Programme\FLEXlm\MDESIGN\TEDATA.exe c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\System32\snmp.exe C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe C:\WINDOWS\System32\TPHDEXLG.exe C:\Programme\Lenovo\Client Security Solution\tvttcsd.exe C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe c:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe C:\DOKUME~1\PCS\LOKALE~1\Temp\b.exe C:\WINDOWS\msb.exe C:\WINDOWS\Explorer.EXE C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Lenovo\NPDIRECT\TPFNF7SP.exe C:\Programme\Apoint2K\Apoint.exe C:\WINDOWS\system32\TpShocks.exe C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\System32\DLA\DLACTRLW.EXE C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Lenovo\AwayTask\AwaySch.EXE C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe C:\PROGRA~1\THINKV~1\AMSG\amsg.exe C:\Programme\Lenovo\Client Security Solution\cssauth.exe C:\Programme\Winamp\winampa.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\pdfforge Toolbar\SearchSettings.exe C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\System32\reader_s.exe C:\WINDOWS\system32\restorer32_a.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wintems.exe C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m\flec006.exe C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\DealAssistant\dealassistant.exe C:\Dokumente und Einstellungen\PCS\reader_s.exe C:\Dokumente und Einstellungen\PCS\restorer32_a.exe C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\Microsoft\Windows\oulwsv.exe C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe C:\Programme\Digital Line Detect\DLG.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Apoint2K\ApMsgFwd.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\Lenovo\Client Security Solution\tvtpwm_tray.exe C:\WINDOWS\System32\svchost.exe c:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe C:\Programme\Apoint2K\Apntex.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Uniblue\RegistryBooster 2010\registrybooster.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wbem\wmiprvse.exe --------------- [ Processus infectieux stoppés ] ---------------- "C:\WINDOWS\system32\wintems.exe" (3460) "C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m\flec006.exe" (1864) --------------- [ Fichiers/Dossiers infectieux ] ---------------- »»»» Presence des fichiers dans C: »»»» Presence des fichiers dans C:\WINDOWS »»»» Presence des fichiers dans C:\WINDOWS\Prefetch Present ! - C:\WINDOWS\prefetch\3862578.EXE-048435A3.pf Present ! - C:\WINDOWS\prefetch\FLEC006.EXE-33FC3620.pf Present ! - C:\WINDOWS\prefetch\MDELK.EXE-1D176F91.pf Present ! - C:\WINDOWS\prefetch\WINTEMS.EXE-2A563F9B.pf »»»» Presence des fichiers dans C:\WINDOWS\system32 Présent ! - C:\WINDOWS\system32\mdelk.exe Présent ! - C:\WINDOWS\system32\wintems.exe »»»» Presence des fichiers dans C:\WINDOWS\system32\drivers Présent ! - C:\WINDOWS\system32\drivers\mdelk.exe Présent ! - C:\WINDOWS\system32\drivers\srosa.sys Présent ! - C:\WINDOWS\system32\drivers\hldrrr.exe Présent ! - "C:\WINDOWS\system32\drivers\down" Présent ! - "C:\WINDOWS\system32\drivers\downld" »»»» Presence des fichiers dans C:\Dokumente und Einstellungen\PCS\Anwendungsdaten Présent ! - "C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m\flec006.exe" Présent ! - "C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m\list.oct" Présent ! - "C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m\data.oct" Présent ! - "C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m\srvlist.oct" Présent ! - "C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m\shared" Présent ! - "C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\m" »»»» Presence des fichiers dans C:\DOKUME~1\PCS\LOKALE~1\Temp --------------- [ Registre / Startup ] ---------------- ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run PWRMGRTR REG_SZ rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor BLOG REG_SZ rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog TPFNF7 REG_SZ C:\Programme\Lenovo\NPDIRECT\TPFNF7SP.exe /r TPHOTKEY REG_SZ C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe Apoint REG_SZ C:\Programme\Apoint2K\Apoint.exe TpShocks REG_SZ TpShocks.exe EZEJMNAP REG_SZ C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe IgfxTray REG_SZ C:\WINDOWS\system32\igfxtray.exe HotKeysCmds REG_SZ C:\WINDOWS\system32\hkcmd.exe Persistence REG_SZ C:\WINDOWS\system32\igfxpers.exe TVT Scheduler Proxy REG_SZ C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe SunJavaUpdateSched REG_SZ C:\Programme\Java\jre1.5.0_06\bin\jusched.exe DLA REG_SZ C:\WINDOWS\System32\DLA\DLACTRLW.EXE ISUSPM Startup REG_SZ C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup ISUSScheduler REG_SZ "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start AwaySch REG_SZ C:\Programme\Lenovo\AwayTask\AwaySch.EXE LPManager REG_SZ C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe AMSG REG_SZ C:\PROGRA~1\THINKV~1\AMSG\amsg.exe DiskeeperSystray REG_SZ "C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" cssauth REG_SZ "C:\Programme\Lenovo\Client Security Solution\cssauth.exe" silent WinampAgent REG_SZ C:\Programme\Winamp\winampa.exe QuickTime Task REG_SZ "C:\Programme\QuickTime\qttask.exe" -atboottime iTunesHelper REG_SZ "C:\Programme\iTunes\iTunesHelper.exe" Adobe Reader Speed Launcher REG_SZ "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" SearchSettings REG_SZ C:\Programme\pdfforge Toolbar\SearchSettings.exe VirtualCloneDrive REG_SZ "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s <NO NAME> REG_SZ StatusClient REG_SZ C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto TomcatStartup REG_SZ C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe net REG_SZ "C:\WINDOWS\system32\net.net" ter8m REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\msxm192z.dll,w reader_s REG_SZ C:\WINDOWS\System32\reader_s.exe restorer32_a REG_SZ C:\WINDOWS\system32\restorer32_a.exe Windows System Defender REG_SZ "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\e5a1660\WSe5a1.exe" /s /d Regedit32 REG_SZ C:\WINDOWS\system32\regedit.exe ClamWin REG_SZ "C:\Programme\ClamWin\bin\ClamTray.exe" --logon Winpooch REG_SZ C:\Programme\Winpooch\Winpooch.exe avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe PopRock REG_SZ C:\DOKUME~1\PCS\LOKALE~1\Temp\b.exe DealAssistant REG_SZ C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\DealAssistant\dealassistant.exe reader_s REG_SZ C:\Dokumente und Einstellungen\PCS\reader_s.exe restorer32_a REG_SZ C:\Dokumente und Einstellungen\PCS\restorer32_a.exe SfKg6wIPuSpdcduD7 REG_SZ C:\Dokumente und Einstellungen\PCS\Anwendungsdaten\Microsoft\Windows\oulwsv.exe NordBull REG_SZ C:\WINDOWS\msb.exe SpybotSD TeaTimer REG_SZ C:\Programme\Spybot - Search & Destroy\TeaTimer.exe HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\not active --------------- [ Registre / Clés infectieuses ] ---------------- Présent ! - HKEY_USERS\S-1-5-21-4284965654-3998773893-3154732862-1008\Software\Local AppWizard-Generated Applications\uiytuhjy Présent ! - HKEY_USERS\S-1-5-21-4284965654-3998773893-3154732862-1008\Software\DateTime4 Présent ! - HKEY_USERS\S-1-5-21-4284965654-3998773893-3154732862-1008\Software\FirstRRRun Présent ! - HKEY_USERS\S-1-5-21-4284965654-3998773893-3154732862-1008\Software\FirtR Présent ! - HKEY_USERS\S-1-5-21-4284965654-3998773893-3154732862-1008\Software\MuleAppData Présent ! - HKEY_USERS\S-1-5-21-4284965654-3998773893-3154732862-1008\Software\XYZ Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\uiytuhjy Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA Présent ! - HKEY_CURRENT_USER\Software\DateTime4 Présent ! - HKEY_CURRENT_USER\Software\XYZ Présent ! - HKEY_CURRENT_USER\Software\FirtR Présent ! - HKEY_CURRENT_USER\Software\FirstRRRun --------------- [ Etat / Services ] ---------------- +- Services : [ Auto=2 Demande=3 Désactivé=4 ] /!\ Ndisuio - Type de démarrage = 4 /!\ Ip6Fw - Type de démarrage = 4 /!\ SharedAccess - Type de démarrage = 4 /!\ wuauserv - Type de démarrage = 4 /!\ wscsvc - Type de démarrage = 4 --------------- [ Recherche dans supports amovibles] ---------------- +- Informations : C: - Eingebautes Laufwerk +- presence des fichiers : --------------- [ Registre / Moutpoint2 ] ---------------- -> Recherche négative. ------------------- ! Fin du rapport ! -------------------- |
@ Mentalmaxxl Format C ist hierbei der einzige Weg was sinnvoll ist. Und nicht in Fremde Threads posten, der hier gehört runner. So Back MBR ist OK :) schritt 1 Registry mit ERUNT sichern Da wir in der Registry Änderungen vornehmen müssen, wirst Du die Registry vorher wie folgt sichern: Lade das Tool ERUNT von Lars Hederer herunter und installiere es. Starte die erunt.exe und erstelle damit eine Backup der Registry in den vorgegebenen Ordner. Unter Sicherungsoptionen bitte alle drei Möglichkeiten anhaken. Das Programm nicht in den Systemstart aufnehmen. schritt 2 Abgesicherterten Modus reparieren
Zitat:
Berichte ob es geklappt hat. Windows CD ist vorhanden wie ich gelesen habe :) |
Anleitung befolgt ;D Der abgesicherte Modus funktioniert. :applaus: |
<< the best :singsing: So räumen wir auf :) Tool-Bereinigung mit OTM Wir werden nun die CleanUp!-Funktion von OTM nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
Zu CCLeaner kommen wir dann noch. Der kann das nämlich auch ;) Schlankes AntiViren Programm Avira :) Poste mir bitte eine HJT Logfile und berichte wie sich der Rechner macht. (ich meld mich gegen 22 uhr wieder. Muss in die schule :pukeface:) |
Super und nochmal vielen Dank. :taenzer: Der Rechner macht sich sehr gut. Läuft soweit alles perfekt. EDIT: Nur der vorletzte Eintrag bei HJT ich habe hier keine Google Software installiert (Googel Earth oder sonstiges). Ich sehe auch keinen Google Ordner in den Programmen oder Software etc: Code: O23 - Service: Google Update Service (gupdate1c9b2e728892258) (gupdate1c9b2e728892258) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe (file missing) HJT: Code: Logfile of Trend Micro HijackThis v2.0.2 |
dann nehmen wir das noch raus :) Starte Hijackthis--> open Misc Tool selection--> delete an NT Service Kopiere nun bitte den Namen aus der Code-Box und füge ihn in das Fenster ein Code: gupdate1c9b2e728892258 Was mir noch aufgefallen ist. Mir fehlt ein Anti Vir Programm im Autostart. Bitte folgendes.
Poste bitte eine neue HJT Logfile |
Liste der Anhänge anzeigen (Anzahl: 1) Jap, AntiVir habe ich mit CClenaer estmal aus dem Autostart genommen. Dachte es könnte sich mit einigen Programmen zur Beseitigung der restlichen Viren ins gehege kommen. Habe es mittlerweile wieder im Autostart. Wenn ich den Schritt mit HJT gehen möchte bekomme ich folgende Meldung (im Anhang). Soll ich es mal im abgesicherten Modus versuchen? |
Dann machen wir es anders :) start --> ausführen (Vista User: suche starten) --> notepad (reinschreiben) Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: @echo off Wähle bei Dateityp alle Dateien aus. Bei Codierung bitte ANSI auswählen. Doppelklick auf die service.bat Vista- User: Mit Rechtsklick "als Administrator starten" ausführen Poste danach eine neue HJT Logfile |
Okay ;D Sehr schön der Eintrag ist weg. Code: Logfile of Trend Micro HijackThis v2.0.2 |
Logfile ist sauber :daumenhoc: Wenn es keine Probleme oder Fragen mehr gibt, hab ich Hier noch was zu lesen für Dich zum Thema Sicherheit von JigSaw. |
Vielen Dank, ich überlege gerade ob ich Java bei ihr komplett deinstalliere. ;D hmm... |
Java wird für viele Seiten benötigt ;) Einfach nur up to date halten und nicht Klick Klick Klick machen hast schon zu 90% gewonnen |
Alle Zeitangaben in WEZ +1. Es ist jetzt 11:31 Uhr. |
Copyright ©2000-2024, Trojaner-Board