wie bekomme ich Trojaner im system 32 weg ? |
|
---|---|
29.11.2005, 16:57
Member
Beiträge: 15 |
|
|
|
29.11.2005, 17:54
Member
Beiträge: 4730 |
#2
Viren bekommst Du mit den genannten Programmen nicht weg. Dazu benötigst Du einen Virenscanner (bzw. mal einen anderen als Avast probieren)
Obwohl, ob der (noch) hilft, ist natürlich auch fraglich. Bitte fertige ein HJT-Log an und poste es hier. Eine Anleitung findest Du hier: http://managor.de/hjt.htm __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
29.11.2005, 18:19
Member
Themenstarter Beiträge: 15 |
#3
hier das Ergebnis
Logfile of HijackThis v1.99.1 Scan saved at 18:16:10, on 29.11.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\D-Tools\daemon.exe C:\Programme\CyberLink\PowerCinema\PCMService.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Dokumente und Einstellungen\media\Eigene Dateien\Meine empfangenen Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://chat.lycos.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [OutpostFeedBack] C:\PROGRA~1\Agnitum\OUTPOS~1\feedback.exe /dump:os_startup O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Outpost Firewall Pro-Schnelleinrichten - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\Agnitum\OUTPOS~1\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://hightower76.dyndns.org:80/activex/RACtrl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{30551BA6-9CB3-461F-B409-83B3F93C1C43}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{3F75511A-CCC0-4020-ACDC-EED46D94FAFA}: NameServer = 217.237.150.97 217.237.149.161 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe |
|
|
30.11.2005, 21:17
Member
Beiträge: 4730 |
#4
Sorry, hatte wenig Zeit, jetzt kann ich mich aber wieder kümmern.
Häkchen setzen und "fix checked" klicken: O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://hightower76.dyndns.org:80/activex/RACtrl.cab Das wird das Virenproblem nicht lösen, der Eintrag erscheint mir aber nicht sicher, deshalb sollte er entfernt werden. Im Autostart ist kein Virus versteckt, das ist schon mal ne gute Nachricht (wobei man nicht ausschließen kann, dass legitime Dateien infiziert wurden). Ich benötige jetzt erstmal vier Log-Dateien. Du erstellst sie nach der Anleitung auf http://virus-protect.org/datfindbat.html Kopiere daraus (inklusive der Pfadangabe am Anfang der Log-Datei) jeweils alle Einträge der vergangenen drei Wochen (vor jedem Dateinamen steht ein Datum) hier ins Forum. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
01.12.2005, 00:43
Member
Themenstarter Beiträge: 15 |
#5
Das ist ja in Ordnung, gibt wichtigeres
Kannst du mir zu der Datei die ich löschen soll mehr sagen was das ist ??? Da ich weis wer Hightower ist würde ich gerne erst mehr wissen wenn möglich bevor ich das lösche. Hier jetzt die log Dateien Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8865-7E6A Verzeichnis von C:\WINDOWS\system32 29.11.2005 23:25 27.661 ljhhf.dll 29.11.2005 23:00 27.661 yayyx.dll 29.11.2005 22:36 27.661 ddcbx.dll 29.11.2005 22:30 27.661 pmkli.dll 29.11.2005 22:23 27.661 byvwx.dll 29.11.2005 22:22 236.032 wincntrl.exe 29.11.2005 18:05 8.192 kksd.exe 29.11.2005 15:53 8.192 djpeoarb.exe 29.11.2005 15:39 8.192 wvgvyls.exe 29.11.2005 14:46 8.192 amddzx.exe 29.11.2005 14:16 8.192 mgeextle.exe 27.11.2005 21:43 38.304 zfvcx.exe 27.11.2005 17:06 109.632 adshiiu.exe 27.11.2005 16:53 0 ktktvds.exe 27.11.2005 15:45 19.968 fszdvd.exe 24.11.2005 22:19 27.648 humhvxgw.exe 24.11.2005 11:47 5.618 jupdate-1.5.0_05-b05.log 24.11.2005 09:52 3.904 SysRes.exe 15.11.2005 23:15 3.002 CONFIG.NT 15.11.2005 22:43 311.740 perfh009.dat 15.11.2005 22:43 40.128 perfc009.dat 15.11.2005 22:43 316.924 perfh007.dat 15.11.2005 22:43 48.354 perfc007.dat 15.11.2005 22:43 723.744 PerfStringBackup.INI 14.11.2005 21:48 91.888 FNTCACHE.DAT 14.11.2005 21:41 1.709 INSTALL.LOG 12.11.2005 15:59 473.600 aswBoot.exe 12.11.2005 15:52 90.112 AVASTSS.scr 12.11.2005 10:40 2.206 wpa.dbl Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8865-7E6A Verzeichnis von C:\DOKUME~1\media\LOKALE~1\Temp 30.11.2005 20:55 13.842 jusched.log 29.11.2005 23:53 49.152 ~DF413.tmp 29.11.2005 18:28 49.152 ~DF34C5.tmp 29.11.2005 15:43 49.152 ~DFE86E.tmp 29.11.2005 11:25 49.152 ~DF996E.tmp 29.11.2005 03:45 49.152 ~DFB0ED.tmp 29.11.2005 02:26 49.152 ~DF3104.tmp 28.11.2005 22:34 49.152 ~DF84D1.tmp 28.11.2005 21:09 49.152 ~DFCE13.tmp 28.11.2005 20:20 49.152 ~DF107B.tmp 28.11.2005 18:38 49.152 ~DF97F7.tmp 28.11.2005 12:22 49.152 ~DF7BB4.tmp 28.11.2005 03:34 13.874 java_install_reg.log 28.11.2005 02:00 49.152 ~DF18F7.tmp 27.11.2005 21:54 49.152 ~DF3C60.tmp 27.11.2005 20:29 49.152 ~DF1927.tmp 27.11.2005 17:06 49.152 ~DFCFAF.tmp 27.11.2005 16:37 49.152 ~DF2AF.tmp 27.11.2005 16:02 49.152 ~DF24AD.tmp 27.11.2005 09:35 49.152 ~DFE566.tmp 27.11.2005 03:54 49.152 ~DFAECB.tmp 26.11.2005 18:16 49.152 ~DF7021.tmp 26.11.2005 05:16 49.152 ~DF48E4.tmp 25.11.2005 19:33 49.152 ~DF2A36.tmp 25.11.2005 12:41 49.152 ~DF5C95.tmp 25.11.2005 00:25 49.152 ~DFFDF7.tmp 24.11.2005 22:19 49.152 ~DF54E5.tmp 24.11.2005 22:12 966.656 ~DFC4C3.tmp 24.11.2005 22:09 314 Trak.html 24.11.2005 22:05 49.152 ~DFB00.tmp 24.11.2005 21:59 901.120 ~DF50D2.tmp 24.11.2005 21:58 966.656 ~DFD4EF.tmp 24.11.2005 21:37 802.816 ~DF59BF.tmp 24.11.2005 20:47 49.152 ~DFD3DA.tmp 24.11.2005 18:17 49.152 ~DFFB0F.tmp 24.11.2005 16:17 49.152 ~DFC026.tmp 24.11.2005 11:46 70.632 java_install.log 24.11.2005 11:44 58.368 39e781.mst 24.11.2005 11:39 462 MSI3dd60.LOG 24.11.2005 11:14 462 MSId9781.LOG 24.11.2005 11:13 757 jinstall.cfg 24.11.2005 11:13 83.999 tmp-3.xpi 24.11.2005 10:52 49.152 ~DF31FF.tmp 24.11.2005 09:52 0 WERF0.tmp 22.11.2005 10:28 663 jupdate1.5.0.xml 22.11.2005 10:26 0 WER1.tmp 22.11.2005 06:24 83.999 tmp-2.xpi 22.11.2005 04:32 919.931 tmp-1.xpi 21.11.2005 23:11 73.872 fla98.tmp 21.11.2005 12:39 49.152 ~DF7B3E.tmp 20.11.2005 22:43 83.999 tmp.xpi 18.11.2005 15:48 49.152 ~DFDDD9.tmp 17.11.2005 00:58 49.152 ~DF7CC1.tmp 16.11.2005 03:56 49.152 ~DF15B1.tmp 16.11.2005 02:01 8.120 deharry.bmp 16.11.2005 02:01 21.176 deadidas.bmp 16.11.2005 02:01 8.118 doodle.bmp 16.11.2005 02:01 8.118 peanuts.bmp 16.11.2005 00:02 49.152 ~DF3A.tmp 15.11.2005 23:00 284 GLB3.ini 15.11.2005 23:00 81 outpost.ini 15.11.2005 23:00 81 GLJ5.ini 15.11.2005 22:50 3.675.976 IRD1.tmp Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8865-7E6A Verzeichnis von C:\WINDOWS 01.12.2005 00:35 252 ODBC.INI 30.11.2005 20:56 0 0.log 30.11.2005 20:55 253.797 WindowsUpdate.log 30.11.2005 20:55 159 wiadebug.log 30.11.2005 20:55 50 wiaservc.log 30.11.2005 20:55 49 transp.gif 30.11.2005 20:54 2.048 bootstat.dat 30.11.2005 20:53 28.442 SchedLgU.Txt 30.11.2005 20:45 338.603 setupapi.log 30.11.2005 07:32 94.777 iis6.log 30.11.2005 07:32 18.610 comsetup.log 30.11.2005 07:32 9.877 ntdtcsetup.log 30.11.2005 07:32 14.784 tsoc.log 30.11.2005 07:32 1.943 imsins.log 30.11.2005 07:32 1.626 tabletoc.log 30.11.2005 07:32 4.069 netfxocm.log 30.11.2005 07:32 1.404 ocmsn.log 30.11.2005 07:32 21.583 ocgen.log 30.11.2005 07:32 1.347 msgsocm.log 30.11.2005 07:32 18.328 FaxSetup.log 30.11.2005 07:31 11.846 msmqinst.log 30.11.2005 00:30 9.728 Thumbs.db 27.11.2005 08:02 10 popcinfo.dat 24.11.2005 21:36 714 PCHP.exe.lnk 24.11.2005 11:14 3.372 mozver.dat 16.11.2005 19:01 99.970 UninstallFirefox.exe 15.11.2005 22:44 894 win.ini 15.11.2005 22:44 137 uno.ini 03.11.2005 03:41 63 WINHELP.BMK Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8865-7E6A Verzeichnis von C:\ 01.12.2005 00:41 0 sys.txt 01.12.2005 00:39 4.982 system.txt 01.12.2005 00:37 3.841 systemtemp.txt 01.12.2005 00:34 89.688 system32.txt 30.11.2005 20:54 266.981.376 hiberfil.sys 30.11.2005 20:54 301.989.888 pagefile.sys 24.11.2005 22:16 32 logerrorPCHP.txt 24.11.2005 22:09 194 boot.ini 15.11.2005 22:50 494 TDSLCheck.txt nun bin ich gespannt was man daraus erkennen kann. |
|
|
01.12.2005, 00:58
Member
Beiträge: 4730 |
#6
Ah, ok, wenn Du ihn kennst, dann wird es wohl doch legitim sein. Es sieht für mich nur nach etwas bösartigem aus (ich weiß ja nicht, wen Du so alles kennst).
Du hast da schön was an Viren zusammengesammelt: C:\WINDOWS\system32 29.11.2005 23:25 27.661 ljhhf.dll 29.11.2005 23:00 27.661 yayyx.dll 29.11.2005 22:36 27.661 ddcbx.dll 29.11.2005 22:30 27.661 pmkli.dll 29.11.2005 22:23 27.661 byvwx.dll 29.11.2005 22:22 236.032 wincntrl.exe 29.11.2005 18:05 8.192 kksd.exe 29.11.2005 15:53 8.192 djpeoarb.exe 29.11.2005 15:39 8.192 wvgvyls.exe 29.11.2005 14:46 8.192 amddzx.exe 29.11.2005 14:16 8.192 mgeextle.exe 27.11.2005 21:43 38.304 zfvcx.exe 27.11.2005 17:06 109.632 adshiiu.exe 27.11.2005 16:53 0 ktktvds.exe 27.11.2005 15:45 19.968 fszdvd.exe 24.11.2005 22:19 27.648 humhvxgw.exe 24.11.2005 09:52 3.904 SysRes.exe 12.11.2005 15:59 473.600 aswBoot.exe Ich vermute, wir brauchen einen etwas längeren Zeitraum als die letzten drei Wochen. Also bitte aus der Datei C:\system32.txt die Einträge ab Oktober 2005 hier reinkopieren. Nachtrag: Und einen Scan mit eScanCheck bitte (Anleitung u. Download: http://managor.de/escan.htm) __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser Dieser Beitrag wurde am 01.12.2005 um 01:01 Uhr von Managor editiert.
|
|
|
01.12.2005, 06:29
Member
Themenstarter Beiträge: 15 |
#7
Gar nicht daran denken darf wie lange das dauern würde bei eine Platte mit 80 GB. Wo er hier für 4 GB schon 1 STD .gebraucht hat, weil ich nicht weis wie das mit dem abgesicherten Modus geht.
-------------------------------------------------- -------------------- INFECTED -------------------- -------------------------------------------------- 1: Thu Dec 01 05:20:03 2005 => File C:\WINDOWS\system32\pmkli.dll infected by "Trojan-Downloader.Win32.Agent.aaj" Virus! Action Taken: No Action Taken. 2: Thu Dec 01 05:21:05 2005 => File C:\WINDOWS\system32\wincntrl.exe infected by "Backdoor.Win32.Rbot.ahp" Virus! Action Taken: No Action Taken. 3: Thu Dec 01 05:21:28 2005 => File C:\WINDOWS\System32\pmkli.dll infected by "Trojan-Downloader.Win32.Agent.aaj" Virus! Action Taken: No Action Taken. 4: Thu Dec 01 05:22:08 2005 => File C:\WINDOWS\system32\wincntrl.exe infected by "Backdoor.Win32.Rbot.ahp" Virus! Action Taken: No Action Taken. 5: Thu Dec 01 05:22:29 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. 6: Thu Dec 01 05:22:29 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. 7: Thu Dec 01 05:22:31 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. 8: Thu Dec 01 05:23:29 2005 => File C:\WINDOWS\System32\adshiiu.exe infected by "Backdoor.Win32.PoeBot.d" Virus! Action Taken: No Action Taken. 9: Thu Dec 01 05:23:39 2005 => File C:\WINDOWS\System32\byvwx.dll infected by "Trojan-Downloader.Win32.Agent.aaj" Virus! Action Taken: No Action Taken. 10: Thu Dec 01 05:24:02 2005 => File C:\WINDOWS\System32\ddcbx.dll infected by "Trojan-Downloader.Win32.Agent.aaj" Virus! Action Taken: No Action Taken. 11: Thu Dec 01 05:24:29 2005 => File C:\WINDOWS\System32\fszdvd.exe infected by "Backdoor.Win32.PoeBot.d" Virus! Action Taken: No Action Taken. 12: Thu Dec 01 05:24:37 2005 => File C:\WINDOWS\System32\humhvxgw.exe infected by "Backdoor.Win32.PoeBot.b" Virus! Action Taken: No Action Taken. 13: Thu Dec 01 05:25:03 2005 => File C:\WINDOWS\System32\ljhhf.dll infected by "Trojan-Downloader.Win32.Agent.aaj" Virus! Action Taken: No Action Taken. 14: Thu Dec 01 05:27:35 2005 => File C:\WINDOWS\System32\yayyx.dll infected by "Trojan-Downloader.Win32.Agent.aaj" Virus! Action Taken: No Action Taken. 15: Thu Dec 01 05:27:35 2005 => File C:\WINDOWS\System32\zfvcx.exe infected by "Backdoor.Win32.PoeBot.d" Virus! Action Taken: No Action Taken. 16: Thu Dec 01 06:03:02 2005 => File C:\WINDOWS\system32\adshiiu.exe infected by "Backdoor.Win32.PoeBot.d" Virus! Action Taken: No Action Taken. 17: Thu Dec 01 06:03:13 2005 => File C:\WINDOWS\system32\byvwx.dll infected by "Trojan-Downloader.Win32.Agent.aaj" Virus! Action Taken: No Action Taken. 18: Thu Dec 01 06:03:42 2005 => File C:\WINDOWS\system32\ddcbx.dll infected by "Trojan-Downloader.Win32.Agent.aaj" Virus! Action Taken: No Action Taken. 19: Thu Dec 01 06:10:41 2005 => File C:\WINDOWS\system32\fszdvd.exe infected by "Backdoor.Win32.PoeBot.d" Virus! Action Taken: No Action Taken. 20: Thu Dec 01 06:10:50 2005 => File C:\WINDOWS\system32\humhvxgw.exe infected by "Backdoor.Win32.PoeBot.b" Virus! Action Taken: No Action Taken. 21: Thu Dec 01 06:11:17 2005 => File C:\WINDOWS\system32\ljhhf.dll infected by "Trojan-Downloader.Win32.Agent.aaj" Virus! Action Taken: No Action Taken. 22: Thu Dec 01 06:14:37 2005 => File C:\WINDOWS\system32\yayyx.dll infected by "Trojan-Downloader.Win32.Agent.aaj" Virus! Action Taken: No Action Taken. 23: Thu Dec 01 06:14:37 2005 => File C:\WINDOWS\system32\zfvcx.exe infected by "Backdoor.Win32.PoeBot.d" Virus! Action Taken: No Action Taken. 24: Thu Dec 01 06:14:38 2005 => File C:\WINDOWS\Temp\drev.exe infected by "Trojan-Downloader.Win32.Adload.j" Virus! Action Taken: No Action Taken. -------------------------------------------------- --------------------- ERRORS --------------------- -------------------------------------------------- 1: Thu Dec 01 05:22:59 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\System32\cmmgr32.exe". Action Taken: No Action Taken. 2: Thu Dec 01 05:23:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Netscape.exe" refers to invalid object "C:\Programme\Netscape\Communicator\Program\netscape.exe". Action Taken: No Action Taken. 3: Thu Dec 01 05:23:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\PowerStarter" refers to invalid object "". Action Taken: No Action Taken. 4: Thu Dec 01 05:23:03 2005 => Entry "HKCR\CLSID\{390CE9F2-C4A0-11D4-8A92-0090271D4F88}" refers to invalid object "C:\PROGRA~1\Yahoo!\MESSEN~1\ycrwin32.dll". Action Taken: No Action Taken. 5: Thu Dec 01 05:23:03 2005 => Entry "HKCR\CLSID\{41695A8E-6414-11D4-8FB3-00D0B7730277}" refers to invalid object "C:\Programme\Yahoo!\Messenger\asw.dll". Action Taken: No Action Taken. 6: Thu Dec 01 05:23:04 2005 => Entry "HKCR\CLSID\{60403D81-872B-11CF-ACC8-0080C82BE3B6}" refers to invalid object "C:\PROGRA~1\Netscape\COMMUN~1\Program\netscape.exe". Action Taken: No Action Taken. 7: Thu Dec 01 05:23:04 2005 => Entry "HKCR\CLSID\{61D8DE20-CA9A-11CE-9EA5-0080C82BE3B6}" refers to invalid object "C:\PROGRA~1\Netscape\COMMUN~1\Program\netscape.exe". Action Taken: No Action Taken. 8: Thu Dec 01 05:23:04 2005 => Entry "HKCR\CLSID\{6AE4CC6E-999C-11D4-A3F0-009027427750}" refers to invalid object "C:\Programme\Yahoo!\Messenger\yauto.dll". Action Taken: No Action Taken. 9: Thu Dec 01 05:23:08 2005 => Entry "HKCR\CLSID\{E328732C-9DC9-11CF-92D0-004095E27A10}" refers to invalid object "C:\PROGRA~1\Netscape\COMMUN~1\Program\netscape.exe". Action Taken: No Action Taken. 10: Thu Dec 01 05:23:08 2005 => Entry "HKCR\CLSID\{E67D6A10-4438-11CE-8CE4-0020AF18F905}" refers to invalid object "C:\PROGRA~1\Netscape\COMMUN~1\Program\netscape.exe". Action Taken: No Action Taken. 11: Thu Dec 01 05:23:09 2005 => Entry "HKCR\CLSID\{EF5F7050-385A-11CE-8193-0020AF18F905}" refers to invalid object "C:\PROGRA~1\Netscape\COMMUN~1\Program\netscape.exe". Action Taken: No Action Taken. 12: Thu Dec 01 05:23:10 2005 => Entry "HKCR\TypeLib\{390CE9E4-C4A0-11D4-8A92-0090271D4F88}" refers to invalid object "C:\Programme\Yahoo!\Messenger\ycrwin32.dll". Action Taken: No Action Taken. 13: Thu Dec 01 05:23:10 2005 => Entry "HKCR\TypeLib\{41695A81-6414-11D4-8FB3-00D0B7730277}" refers to invalid object "C:\Programme\Yahoo!\Messenger\asw.dll". Action Taken: No Action Taken. 14: Thu Dec 01 05:23:10 2005 => Entry "HKCR\TypeLib\{6AE4CC61-999C-11D4-A3F0-009027427750}" refers to invalid object "C:\Programme\Yahoo!\Messenger\yauto.dll". Action Taken: No Action Taken. 15: Thu Dec 01 05:23:10 2005 => Entry "HKCR\.csk" refers to invalid object "cskfile". Action Taken: No Action Taken. 16: Thu Dec 01 05:23:12 2005 => Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Action Taken: No Action Taken. 17: Thu Dec 01 05:23:15 2005 => Entry "HKCR\pjsfile\shell\open\command" refers to invalid object "C:\PROGRA~1\Netscape\COMMUN~1\Program\Netscape.exe". Action Taken: No Action Taken. 18: Thu Dec 01 05:23:15 2005 => Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken. 19: Thu Dec 01 05:23:15 2005 => Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken. 20: Thu Dec 01 05:23:16 2005 => Entry "HKCR\tjsfile\shell\open\command" refers to invalid object "C:\PROGRA~1\Netscape\COMMUN~1\Program\Netscape.exe". Action Taken: No Action Taken. 21: Thu Dec 01 05:23:16 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken. 22: Thu Dec 01 05:23:16 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken. 23: Thu Dec 01 05:30:38 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YPE52NSJ\drsmartload[1].exe: Scanning Failure!!! 24: Thu Dec 01 05:30:38 2005 => ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YPE52NSJ\drsmartload[1].exe 25: Thu Dec 01 05:50:43 2005 => Result: ERROR!!! File C:\System Volume Information\_restore{BA6D5661-9D70-4184-86F9-56B8568AB32B}\RP37\A0009837.exe: Scanning Failure!!! 26: Thu Dec 01 05:50:43 2005 => ERROR!!! ScanFile fails for C:\System Volume Information\_restore{BA6D5661-9D70-4184-86F9-56B8568AB32B}\RP37\A0009837.exe 27: Thu Dec 01 05:50:50 2005 => Result: ERROR!!! File C:\System Volume Information\_restore{BA6D5661-9D70-4184-86F9-56B8568AB32B}\RP37\A0009838.exe: Scanning Failure!!! 28: Thu Dec 01 05:50:50 2005 => ERROR!!! ScanFile fails for C:\System Volume Information\_restore{BA6D5661-9D70-4184-86F9-56B8568AB32B}\RP37\A0009838.exe 29: Thu Dec 01 05:51:06 2005 => Result: ERROR!!! File C:\System Volume Information\_restore{BA6D5661-9D70-4184-86F9-56B8568AB32B}\RP37\A0011891.exe: Scanning Failure!!! 30: Thu Dec 01 05:51:06 2005 => ERROR!!! ScanFile fails for C:\System Volume Information\_restore{BA6D5661-9D70-4184-86F9-56B8568AB32B}\RP37\A0011891.exe -------------------------------------------------- -------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT --------- -------------------------------------------------- 1: C:\WINDOWS\system32\pmkli.dll => Trojan-Downloader.Win32.Agent.aaj 2: C:\WINDOWS\system32\wincntrl.exe => Backdoor.Win32.Rbot.ahp 3: C:\WINDOWS\System32\pmkli.dll => Trojan-Downloader.Win32.Agent.aaj 4: C:\WINDOWS\System32\adshiiu.exe => Backdoor.Win32.PoeBot.d 5: C:\WINDOWS\System32\byvwx.dll => Trojan-Downloader.Win32.Agent.aaj 6: C:\WINDOWS\System32\ddcbx.dll => Trojan-Downloader.Win32.Agent.aaj 7: C:\WINDOWS\System32\fszdvd.exe => Backdoor.Win32.PoeBot.d 8: C:\WINDOWS\System32\humhvxgw.exe => Backdoor.Win32.PoeBot.b 9: C:\WINDOWS\System32\ljhhf.dll => Trojan-Downloader.Win32.Agent.aaj 10: C:\WINDOWS\System32\yayyx.dll => Trojan-Downloader.Win32.Agent.aaj 11: C:\WINDOWS\System32\zfvcx.exe => Backdoor.Win32.PoeBot.d 12: C:\WINDOWS\system32\adshiiu.exe => Backdoor.Win32.PoeBot.d 13: C:\WINDOWS\system32\byvwx.dll => Trojan-Downloader.Win32.Agent.aaj 14: C:\WINDOWS\system32\ddcbx.dll => Trojan-Downloader.Win32.Agent.aaj 15: C:\WINDOWS\system32\fszdvd.exe => Backdoor.Win32.PoeBot.d 16: C:\WINDOWS\system32\humhvxgw.exe => Backdoor.Win32.PoeBot.b 17: C:\WINDOWS\system32\ljhhf.dll => Trojan-Downloader.Win32.Agent.aaj 18: C:\WINDOWS\system32\yayyx.dll => Trojan-Downloader.Win32.Agent.aaj 19: C:\WINDOWS\system32\zfvcx.exe => Backdoor.Win32.PoeBot.d 20: C:\WINDOWS\Temp\drev.exe => Trojan-Downloader.Win32.Adload.j -------------------------------------------------- -------------------- Statistik ------------------- -------------------------------------------------- Thu Dec 01 06:14:52 2005 => Total Objects Scanned: 50158 Thu Dec 01 06:14:52 2005 => Total Virus(es) Found: 24 Thu Dec 01 06:14:52 2005 => Total Errors: 26 Thu Dec 01 06:14:52 2005 => Virus Database Date: 2005/11/28 Thu Dec 01 06:14:52 2005 => Virus Database Count: 161878 und hier das andere 31.10.2005 23:21 1.228 DeIsL1.isu 13.10.2005 00:11 118.784 sirenacm.dll 03.10.2005 23:10 0 h323log.txt 03.10.2005 22:38 25.065 wmpscheme.xml 03.10.2005 22:35 261 $winnt$.inf 03.10.2005 22:24 16.832 amcompat.tlb 03.10.2005 22:24 23.392 nscompat.tlb 03.10.2005 22:21 488 WindowsLogon.manifest 03.10.2005 22:21 488 logonui.exe.manifest 03.10.2005 22:20 749 wuaucpl.cpl.manifest 03.10.2005 22:20 749 cdplayer.exe.manifest 03.10.2005 22:20 749 sapi.cpl.manifest 03.10.2005 22:20 749 nwc.cpl.manifest 03.10.2005 22:20 749 ncpa.cpl.manifest 03.10.2005 22:16 21.740 emptyregdb.dat 26.08.2005 18:14 127.078 javaws.exe 26.08.2005 18:14 49.265 jpicpl32.cpl 26.08.2005 15:55 49.250 javaw.exe 26.08.2005 15:55 49.248 java.exe 26.05.2005 04:16 1.343.768 wuaueng.dll 26.05.2005 04:16 173.536 wuweb.dll 26.05.2005 04:16 18.200 wups2.dll 26.05.2005 04:16 41.240 wups.dll 26.05.2005 04:16 75.544 cdm.dll 26.05.2005 04:16 198.424 iuengine.dll 26.05.2005 04:16 124.696 wuauclt.exe 26.05.2005 04:16 466.200 wuapi.dll 26.05.2005 04:16 194.840 wuaueng1.dll 26.05.2005 04:16 128.280 wucltui.dll 26.05.2005 04:16 174.872 wuauclt1.exe 26.05.2005 04:16 174.872 wuaucpl.cpl 23.05.2005 17:09 82.432 msxml4r.dll 23.05.2005 17:09 44.544 msxml4a.dll 23.05.2005 17:09 1.233.920 msxml4.dll 23.05.2005 17:09 1.645.320 gdiplus.dll 23.05.2005 17:09 198.144 _psisdecd.dll 31.03.2005 16:59 7.912 ractrlkeyhook.dll 09.01.2004 11:13 380.928 actskin4.ocx |
|
|
01.12.2005, 11:40
Member
Beiträge: 4730 |
#8
Ok, dann die von eScanCheck zum Löschen vorgeschlagenen Dateien löschen lassen (oder im folgenden Schritt mit Killbox löschen).
Lösche mit Killbox (http://managor.de/killbox.htm): c:\windows\system32\aswBoot.exe c:\windows\system32\SysRes.exe c:\windows\system32\ktktvds.exe c:\windows\system32\kksd.exe c:\windows\system32\djpeoarb.exe c:\windows\system32\wvgvyls.exe c:\windows\system32\amddzx.exe c:\windows\system32\mgeextle.exe Dann mache einen Scan mit Ewido und reinige das, was er noch findet. http://virus-protect.org/ewido.html Ich hoffe mal, dass das so klappt. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser Dieser Beitrag wurde am 01.12.2005 um 17:40 Uhr von Managor editiert.
|
|
|
01.12.2005, 17:36
Member
Themenstarter Beiträge: 15 |
#9
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8865-7E6A Verzeichnis von C:\WINDOWS\system32 01.12.2005 14:52 234.196 drsenh.dll 01.12.2005 14:52 235.492 n6r2lg9o16.dll 01.12.2005 13:36 235.953 hrj6051se.dll 01.12.2005 12:31 234.196 hr8s05l7e.dll 01.12.2005 12:30 3.002 CONFIG.NT 01.12.2005 06:36 27.661 nnllj.dll 01.12.2005 06:23 561.204 efeby.dll 29.11.2005 23:25 27.661 ljhhf.dll 29.11.2005 23:00 27.661 yayyx.dll 29.11.2005 22:36 27.661 ddcbx.dll 29.11.2005 22:30 27.661 pmkli.dll 29.11.2005 22:23 27.661 byvwx.dll 27.11.2005 21:43 38.304 zfvcx.exe 27.11.2005 17:06 109.632 adshiiu.exe 27.11.2005 15:45 19.968 fszdvd.exe 24.11.2005 22:19 27.648 humhvxgw.exe 24.11.2005 11:47 5.618 jupdate-1.5.0_05-b05.log 15.11.2005 22:43 311.740 perfh009.dat 15.11.2005 22:43 40.128 perfc009.dat 15.11.2005 22:43 316.924 perfh007.dat 15.11.2005 22:43 48.354 perfc007.dat 15.11.2005 22:43 723.744 PerfStringBackup.INI 14.11.2005 21:48 91.888 FNTCACHE.DAT 14.11.2005 21:41 1.709 INSTALL.LOG 12.11.2005 15:59 473.600 aswBoot.exe 12.11.2005 15:52 90.112 AVASTSS.scr 12.11.2005 10:40 2.206 wpa.dbl 31.10.2005 23:21 1.228 DeIsL1.isu 13.10.2005 00:11 118.784 sirenacm.dll 03.10.2005 23:10 0 h323log.txt 03.10.2005 22:38 25.065 wmpscheme.xml 03.10.2005 22:35 261 $winnt$.inf 03.10.2005 22:24 16.832 amcompat.tlb 03.10.2005 22:24 23.392 nscompat.tlb 03.10.2005 22:21 488 logonui.exe.manifest 03.10.2005 22:21 488 WindowsLogon.manifest 03.10.2005 22:20 749 cdplayer.exe.manifest 03.10.2005 22:20 749 wuaucpl.cpl.manifest 03.10.2005 22:20 749 nwc.cpl.manifest 03.10.2005 22:20 749 sapi.cpl.manifest 03.10.2005 22:20 749 ncpa.cpl.manifest 03.10.2005 22:16 21.740 emptyregdb.dat 26.08.2005 18:14 127.078 javaws.exe 26.08.2005 18:14 49.265 jpicpl32.cpl 26.08.2005 15:55 49.250 javaw.exe 26.08.2005 15:55 49.248 java.exe |
|
|
01.12.2005, 17:39
Member
Beiträge: 4730 |
#10
Ne, das nützt nichts... ich kann hier nur noch zum Formatieren raten. Alles, was entfernt wurde, ist wieder da.
Steige nach dem Formatieren auf AntiVir um (ist m.E. der bessere Virenscanner) und statt Outpost die Firewall von Sygate. (Links und andere Infos unter http://managor.de/absichern.htm) __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
17.12.2005, 12:25
...neu hier
Beiträge: 2 |
#11
Hi,bin neu hier und hab mich extra wegen diesem thread angemeldet.
hatte das selbe problem ,allerdings mit einer ausnahme: bevor der trojaner angefangen hat mit mir seine spielchen zu spielen(internetblock,bootprobleme) habe ichmein system auf 2gb ram erhöht und seit gestern imer herum gesteckt ,da ichdachte dass es daran läge. Ich habe dann bemerkt,dass meine Sygate Firewall aus dem tray war und die dateien komplett beschädigt.nach neuinstallation dieser konnte ich endlich wieder ins netz (hab die aggressive datei geblockt)und hab mir das microsoft antispywaretool runter geladen. es ist schnell und gut. Microsoft Antispywaretool & Sygate Personal Firewall sind nur zu empfehlen. |
|
|
17.12.2005, 15:27
Member
Themenstarter Beiträge: 15 |
#12
Hallo
Danke für die Mitteilung Aber ich bin nur einfache Anwenderin.wenn man mir aber etwas genauer sagt wie und was schaff ich das schon wie im Thread zu ersehen ist. Nur mit dem Antispywaretool hast du alles wegbekommen ??? Hast du vielleicht einenLink wo ich diese Tools runterladen kann ??? Ich hoffe die Proggis sind in Deutsch, ich kann nämlich kein englisch. schonmal vielen Dank sage MHT[/i][/b] Dieser Beitrag wurde am 17.12.2005 um 18:11 Uhr von MHT editiert.
|
|
|
18.12.2005, 03:41
...neu hier
Beiträge: 2 |
#13
Ich hab jetzt keinen downloadlink aber google wird den schon finden.
die meisten tools sind nunmal englisch und ohne diese kenntnisse hast probleme im netz... bei mir war es rlativ einfach es wegzumachen,da ichs früh erkannt hab und es sich nicht auf andere anwendungen ausgebreitet hat. rüher hat ich ein ähnliches problem aber das war enorm schwer es wegzubekommen. ich musste ständig immunisieren mit nem antivir und dann von hand alles aus der registry löschen ,was damit zu tun hatte.dan endlich konnte ich die betroffenen dateien endlich löschen.es war ziemlich anstrengend,man muss eben alles ausprobieren. |
|
|
Vorab mal sagen möchte das ich nur einfache Anwenderin bin. Alles andere kann ich nur wenn man mir genau sagt wo ich was klicken muß. Ich hoffe das mir trotzdem jemand helfen kann.
Ich bekomme von Avast jede Menge trojanermeldung, alles EXE dateien in system 32
Bei Malware steht Win32 ProeBot- A,B oder C (immer einer dieser Buchstaben)
Wenn ich auf Informationen klicke komme ich auf eine englische Seite. Kann aber kein Englisch.
Mein Betriebssystem ist Win XP
Ich habe auch schon folgende Programme laufen lassen
PCHealth Plan im abgesicherten Modus (ging automatisch)
Registry Cleaner 32
Registry Repair Pro
waren alles selbstentpackende Programme, aber geändert hat sich nix.
Was kann ich noch versuchen ???