Home » Viren, Trojaner & Malware Forum » wie bekomme ich Trojaner TR/Small.gq1 von meinem PC » Themenansicht
wie bekomme ich Trojaner TR/Small.gq1 von meinem PC |
||
|---|---|---|
| #0
| ||
|
14.12.2005, 07:28
Member
Beiträge: 15 |
||
 
|
|
|
|
15.12.2005, 20:37
Ehrenmitglied
 Beiträge: 6028 |
#2
Du hast eine Wareout infektion
http://virus-protect.org/artikel/spyware/wareout.html __________ MfG Argus |
|
|
|
|
|
|
15.12.2005, 22:47
Member
Themenstarter Beiträge: 15 |
#3
Hallo Arnold,
erst mal vielen Dank für die Antwort. Was bedeutet Wareoutinfektion. Bekomme ich die wieder weg. Der Link, den Du mir geschickt hast beinhaltet 11 Seiten. WAs muß ich damit machen? Bin leider nicht so ein PC.Freak wie die meisten hier, brauche meist Anleitung zu den einzelnen Schritten wie ein Vorschulkind. Für weitere Infos wäre ich sehr dankbar. Gruß Peter |
|
|
|
|
|
|
15.12.2005, 23:17
Ehrenmitglied
Beiträge: 6028 |
#4
Hi,Peter
Das Beste ist um auf Sabina zu warten ! Ich weiss auch nichts von PC's ,aber bin immer interessiert daran wo man sich infiziert  __________ MfG Argus |
|
|
|
|
|
|
19.12.2005, 19:01
Moderator
Beiträge: 7805 |
#5
Vorweg: Wie Arnokld schon sagte, das Ding ist etwas aufwendig zu entfernen und wenn deine Windowsinstallation recht alt ist, waere Plattmachen die beste und effektivste Art.
So nun zum Reinigen. ICh denke, das dein Spybot und dein Antivir auf dem neusten Stand sind? Kopiere die HijackThis.exe in einen extra Ordner um auf Sicherheitkopien zurueckgreifen zu koennen! Dann mal los. Fixe bitte folgendes(anhaken fix checked druecken), nicht alles ist boese, es stoert nur. R3 - URLSearchHook: (no name) - {4499FBFA-DB60-7E46-5810-FF326917E0D3} - newbreed.dll (file missing) O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file) O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [FLKPT] MON76234.exe O4 - HKLM\..\Run: [stuffmon] Bogobot.exe O4 - HKCU\..\Run: [Versato] C:\Programme\MediaKey\MagicRun.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe ->Ja, raus damit, bis wir mit dem Reinigen fertig sind, du kannst es auch per Hand deaktivieren O4 - HKCU\..\Run: [new32] DTOURS.exe O4 - HKCU\..\Run: [utsgmon] Uint32.exe O4 - HKCU\..\Run: [corrida] control64.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: D-Info Starter.lnk = C:\Programme\D\D-Info\dinfostarter.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.internetcologne.de O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://ax.emsisoft.com/axscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3286A416-B489-4CD3-ADAA-8707D6ABB3B3}: NameServer = 85.255.115.6,85.255.112.150 O17 - HKLM\System\CCS\Services\Tcpip\..\{4E4E2183-2BB8-4218-B20F-F1E6A340EBC9}: NameServer = 85.255.115.6,85.255.112.150 O17 - HKLM\System\CCS\Services\Tcpip\..\{9779EADB-1CED-4383-B7B4-9C1B81539EA1}: NameServer = 85.255.115.6,85.255.112.150 O17 - HKLM\System\CCS\Services\Tcpip\..\{B221BCC5-9ABF-47B0-98EA-10367C5EBA86}: NameServer = 85.255.115.6,85.255.112.150 Starte den PC neu und nutzte bitte Blacklight http://www.f-secure.com/blacklight/try.shtml Lade es herunter, entpacke es in einen extra Ordner, starte es, waehle folgendes, erst " i acept the agreement", dann "scan", warte bis es den Rechner geprueft hat, dann "next" und "exit". Es befindet sich nun eine TXT Datei in dem Ordner, in dem sich auch Blacklight befindet, post es bitte hier. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
19.12.2005, 22:32
Member
Themenstarter Beiträge: 15 |
#6
Hallo Ralf,
erst Mal tausend Dank im Voraus, dass Du Dir die Mühe machst Dich mit meinem Problem auseinanderzusetzen. Wider erwarten habe ich bis jetzt alles verstanden und auch umsetzen können. Die Textdatei aus Blacklight füge ich bei. 12/19/05 22:09:16 [Info]: BlackLight Engine 1.0.30 initialized 12/19/05 22:09:16 [Info]: OS: 5.1 build 2600 (Service Pack 2) 12/19/05 22:09:16 [Note]: 7019 4 12/19/05 22:09:16 [Note]: 7005 0 12/19/05 22:09:36 [Note]: 7006 0 12/19/05 22:09:36 [Note]: 7011 1356 12/19/05 22:09:36 [Note]: FSRAW library version 1.7.1014 12/19/05 22:10:44 [Note]: 7007 0 Mit freundlichem Gruß Peter |
|
|
|
|
|
|
19.12.2005, 22:37
Moderator
Beiträge: 7805 |
#7
Hm, das habe ich nicht erwartet..........
Poste bitte alle vier sys*.txt Dateien von Datfindbat: http://virus-protect.org/datfindbat.html Wenn etwas auftaucht, poste bitte auch ein neues Hijackthis log und ein Rootkitrevealer log: http://www.sysinternals.com/Utilities/RootkitRevealer.html Aber mit dafindbat anfangen!  __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
20.12.2005, 19:58
Member
Themenstarter Beiträge: 15 |
#8
Hallo Ralf,
zunächst vielen Dank, anbei zunächst die vier *sys.txt Dateien Verzeichnis von C:\WINDOWS.0\system32 20.12.2005 19:34 238 vsconfig.xml 19.12.2005 21:49 2.206 wpa.dbl 12.12.2005 22:37 4.984 close.bmp 12.12.2005 22:37 19.712 insurance.bmp 12.12.2005 22:37 11.772 spyware.bmp 12.12.2005 22:37 21.224 xxx.bmp 12.12.2005 22:37 21.872 pharmacy.bmp 12.12.2005 22:37 21.872 dating.bmp 12.12.2005 22:37 23.480 gambling.bmp 12.12.2005 22:37 387 idesk.conf 12.12.2005 22:37 654.111 filesafer23.exe 12.12.2005 22:36 109.568 idemlog.exe 12.12.2005 22:36 45.568 pppcgm.exe 08.12.2005 16:25 2.723.680 MRT.exe 01.12.2005 04:31 1.492.480 shdocvw.dll 24.11.2005 00:58 1.022.464 browseui.dll 24.11.2005 00:58 3.013.632 mshtml.dll 15.11.2005 12:32 115.768 FNTCACHE.DAT 05.11.2005 04:16 606.208 urlmon.dll 05.11.2005 04:16 1.056.256 danim.dll 30.10.2005 23:27 48.156 perfc007.dat 30.10.2005 23:27 39.992 perfc009.dat 30.10.2005 23:27 316.594 perfh007.dat 30.10.2005 23:27 311.604 perfh009.dat 30.10.2005 23:27 723.744 PerfStringBackup.INI 21.10.2005 04:40 664.064 wininet.dll 21.10.2005 04:40 474.112 shlwapi.dll 21.10.2005 04:40 39.424 pngfilt.dll 21.10.2005 04:40 530.944 mstime.dll 21.10.2005 04:40 146.432 msrating.dll 21.10.2005 04:40 448.512 mshtmled.dll 21.10.2005 04:40 96.768 inseng.dll 21.10.2005 04:40 55.808 extmgr.dll 21.10.2005 04:40 251.392 iepeers.dll 21.10.2005 04:40 152.064 cdfview.dll 21.10.2005 04:40 205.312 dxtrans.dll 20.10.2005 23:25 1.094.144 esent.dll 13.10.2005 00:11 15.584 spmsg.dll 06.10.2005 04:18 280.064 gdi32.dll 06.10.2005 04:08 1.839.616 win32k.sys 23.09.2005 04:06 8.491.520 shell32.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 48C5-3546 Verzeichnis von C:\DOKUME~1\PETER~1.YOU\LOKALE~1\Temp 20.12.2005 20:04 16.384 ~WRF0000.tmp 20.12.2005 19:34 16.384 Perflib_Perfdata_628.dat 19.12.2005 22:01 16.294 4276_appcompat.txt 19.12.2005 21:50 204 jusched.log 18.12.2005 22:54 235.530 MSI48953.LOG 18.12.2005 22:53 16.384 ~DFDBE2.tmp 18.12.2005 22:51 119.344 MSI291e7.LOG 14.04.2002 00:57 4.731 Rtscan.ini Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 48C5-3546 Verzeichnis von C:\WINDOWS.0 20.12.2005 19:34 0 0.log 20.12.2005 19:34 157 wiadebug.log 20.12.2005 19:34 2.075.171 WindowsUpdate.log 20.12.2005 19:34 50 wiaservc.log 20.12.2005 19:33 2.048 bootstat.dat 19.12.2005 22:41 32.638 SchedLgU.Txt 19.12.2005 21:51 54.156 QTFont.qfn 15.12.2005 22:55 234.328 ntbtlog.txt 15.12.2005 18:59 25.201 ocmsn.log 15.12.2005 18:59 75.495 iis6.log 15.12.2005 18:59 106.874 ntdtcsetup.log 15.12.2005 18:59 196.799 tsoc.log 15.12.2005 18:59 1.393 imsins.log 15.12.2005 18:59 175.126 comsetup.log 15.12.2005 18:59 9.524 KB910437.log 15.12.2005 18:59 25.558 msgsocm.log 15.12.2005 18:59 268.859 ocgen.log 15.12.2005 18:59 510.969 FaxSetup.log 15.12.2005 18:59 397.149 setupapi.log 15.12.2005 18:59 21.851 updspapi.log 15.12.2005 18:59 1.393 imsins.BAK 15.12.2005 18:59 15.676 KB905915.log 15.12.2005 18:36 107.132 UninstallFirefox.exe 15.12.2005 18:35 2.258 mozver.dat 13.12.2005 21:19 1.409 QTFont.for 12.12.2005 22:41 4.517 rdt.ini 16.11.2005 15:51 3.206 tm.ini 16.11.2005 14:20 35 tdf.dii 15.11.2005 15:45 16.351 wmsetup.log 15.11.2005 10:54 11.878 KB896424.log 14.11.2005 19:36 4.103 Active Setup Log.txt 14.11.2005 19:36 2.975 awprotoc.txt 14.11.2005 19:35 3.424 netcfg.log 14.11.2005 13:55 61 awerror.txt 16.10.2005 11:20 20.301 KB901017.log 16.10.2005 11:20 22.954 KB902400.log 16.10.2005 11:19 14.334 KB896688.log 16.10.2005 11:19 13.775 KB905414.log 16.10.2005 11:19 13.556 KB900725.log 16.10.2005 11:19 11.351 KB904706.log 16.10.2005 11:19 11.951 KB905749.log 01.09.2005 21:51 606.848 flashax.exe Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 48C5-3546 Verzeichnis von C:\ 20.12.2005 19:42 0 sys.txt 20.12.2005 19:42 138.992.710 wialog.txt 20.12.2005 19:42 10.046 system.txt 20.12.2005 19:41 613 systemtemp.txt 20.12.2005 19:38 103.417 system32.txt 20.12.2005 19:33 402.653.184 pagefile.sys 17.01.2005 22:00 3.497 INSTALL.LOG Den Rest (Hijackthis undRootkit schicke ich gleich, muß mal kurz den PC verlassen Gruß Peter So, hier der aktuelle HijackThis Logfile: Logfile of HijackThis v1.99.1 Scan saved at 21:55:12, on 20.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS.0\System32\smss.exe C:\WINDOWS.0\system32\csrss.exe C:\WINDOWS.0\system32\winlogon.exe C:\WINDOWS.0\system32\services.exe C:\WINDOWS.0\system32\lsass.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\system32\svchost.exe C:\WINDOWS.0\System32\svchost.exe C:\WINDOWS.0\System32\svchost.exe C:\WINDOWS.0\System32\svchost.exe C:\WINDOWS.0\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS.0\System32\nvsvc32.exe C:\WINDOWS.0\System32\svchost.exe C:\WINDOWS.0\system32\wdfmgr.exe C:\WINDOWS.0\system32\ZoneLabs\vsmon.exe C:\WINDOWS.0\System32\alg.exe C:\WINDOWS.0\Explorer.EXE C:\WINDOWS.0\system32\wscntfy.exe C:\Programme\iWare\iWare Mouse\3.2\lwbwheel.exe C:\WINDOWS.0\system32\sstray.exe C:\Programme\ahead\InCD\InCD.exe C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE C:\WINDOWS.0\Twain_32\FlatBed\HotKey.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS.0\system32\ctfmon.exe C:\WINDOWS.0\system32\idemlog.exe C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\PETER~1.YOU\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\iWare\iWare Mouse\3.2\lwbwheel.exe O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS.0\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [HotKey] C:\WINDOWS.0\Twain_32\FlatBed\HotKey.exe O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [dmsbx.exe] C:\WINDOWS.0\system32\dmsbx.exe O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe O4 - HKCU\..\Run: [desktop] C:\WINDOWS.0\system32\idemlog.exe O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: BINGOOO - {81A9A28C-4CB0-42F7-8D6C-04C4BDA768A1} - C:\Programme\D\Adressensuche Internet+D-Info\bingooo.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS.0\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS.0\system32\ZoneLabs\vsmon.exe Jetzt habe ich RootkitRevealer scannen lassen, aber wo bekomme ich jetztlog her? Was muß ich da machen? DAs einzige, was die .txt anzeigt istfolgendes C:\Dokumente und Einstellungen\Peter.YOUR-QAG8USFM0T\Anwendungsdaten\Mozilla\Firefox\Profiles\omfiif6t.default\parent.lock 20.12.2005 21:12 0 bytes Visible in Windows API, but not in MFT or directory index. Gruß Peter Dieser Beitrag wurde am 20.12.2005 um 23:17 Uhr von Pitnaumi editiert.
|
|
|
|
|
|
|
21.12.2005, 12:26
Ehrenmitglied
 Beiträge: 29434 |
#9
Pitnaumi
ich weiss nicht, ob die reg-Datei funktionieren wird, weil du ein anderes System hast. Falls nicht, sehe ich es im Log vom Silentrunner und erstelle eine Neue  --------------------------------------------------------------------------------- Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4das muss geloescht werden: http://virus-protect.org/killbox.html C:\WINDOWS.0\system32\close.bmp C:\WINDOWS.0\system32\insurance.bmp C:\WINDOWS.0\system32\spyware.bmp C:\WINDOWS.0\system32\xxx.bmp C:\WINDOWS.0\system32\pharmacy.bmp C:\WINDOWS.0\system32\dating.bmp C:\WINDOWS.0\system32\gambling.bmp C:\WINDOWS.0\system32\idesk.conf C:\WINDOWS.0\system32\filesafer23.exe C:\WINDOWS.0\system32\idemlog.exe C:\WINDOWS.0\system32\dmsbx.exe C:\WINDOWS.0\system32\pppcgm.exe C:\WINDOWS.0\rdt.ini PC neustarten Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken falls die Regdatei funktioniert hat, sind diese Eintraege nicht mehr vorhanden öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O4 - HKLM\..\Run: [dmsbx.exe] C:\WINDOWS.0\system32\dmsbx.exe O4 - HKCU\..\Run: [desktop] C:\WINDOWS.0\system32\idemlog.exe PC neustarten C:\Programme\UnSpyPC (deinstallieren und alles loeschen) um die Registry saeubern zu koennen, poste das Log vom Silentrunner http://virus-protect.org/silentrunner.html Beispiel: http://virus-protect.org/artikel/spyware/idemlog.html ------------------------------------------------------------------------- dann empfehle ich einen Scan mit dr.Web http://virus-protect.org/cureit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
21.12.2005, 19:33
Member
Themenstarter Beiträge: 15 |
#10
Hallo Sabina,
bis zu den Dateien, die ich mit killbox löschen sollte bin ich gekommen. Das hat alles geklappt, die blöden Links auf dem Desktop sind endlich wieder weg. Was ich nicht ganz verstanden habe ist folgendes: öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O4 - HKLM\..\Run: [dmsbx.exe] C:\WINDOWS.0\system32\dmsbx.exe O4 - HKCU\..\Run: [desktop] C:\WINDOWS.0\system32\idemlog.exe Diese drei Einträge habe ich nicht gefunden. Ich hatte das so verstanden, dass ich vor diesen Einträgen die Häkchen setzen soll oder sollte ich vor allen Einträgen, die HijackThis anzeigt Häckchen setzen. Aber was mache ich dann mit den drei Einträgen, die Du benannt hast und wo bekomme ich die her? Bis hierhin schon mal vielen vielen Dank, dass Ihr Euch so toll auch um "Fachidioten" kümmert. Jetzt wollte ich gerade scon mal nach "UnSpyPC" sehen, da ich das Programm anschließend löschen soll, so ein Programm finde ich aber nicht. Ist das irgendwo versteckt? Gruß Peter Dieser Beitrag wurde am 21.12.2005 um 19:40 Uhr von Pitnaumi editiert.
|
|
|
|
|
|
|
21.12.2005, 21:41
Ehrenmitglied
Beiträge: 29434 |
#11
je...je....
 Zitat falls die Regdatei funktioniert hat, sind diese Eintraege nicht mehr vorhandenposte das Log vom Silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
21.12.2005, 21:58
Member
Themenstarter Beiträge: 15 |
#12
Auch auf die Gefahr hin, das Du mich für total blöd hältst. Soll ich vor allem was HijackThis anzeigt Häkchen setzen bevor ich "fix Checked" auslöse? Sind das denn alles Malwares? Mich macht das ein bißchen stutzig, weil ich dann die Warnung bekomme, dass danach mein ganzes System eventuell nicht mehr funktioniert. Da frag ich lieber einmal mehr nach. sorry.
Peter |
|
|
|
|
|
|
21.12.2005, 22:10
Ehrenmitglied
Beiträge: 6028 |
#13
Hallo Peter
Wenn Du diese 3 nicht mehr findet sollst du in Hijack This NICHTS mehr machen In Hijack This stehen nicht nur schlechte,sondern auch gute sachen __________ MfG Argus |
|
|
|
|
|
|
21.12.2005, 23:09
Member
Themenstarter Beiträge: 15 |
#14
Habe jetzt genau eine Stunde nach der log-DAtei vom Silentrunner gesucht, ich finde sie nicht. Habe silent runners.zip in einen Ordner gespeichert, doppelgeklickt, dann Silent runners.vbs doppelt geklickt. Dann habe ich beide Möglichkeiten, einmal "ja" einmal "nein" ausprobiert. Irgendwann erscheint eine kleine Box, wo ein Pfad hinterlegt ist, der aber so schnell wieder verschwindet, dass ich ihn nicht ganz ansehen kann. Habe jetzt mit der Suchfunktion alle .log DAteien rausgesucht. Da ist nichts vom Silentrunner. Binn ich zu dumm oder kann das wirklich sein?
M.f.G Peter |
|
|
|
|
|
|
21.12.2005, 23:24
Ehrenmitglied
Beiträge: 6028 |
#15
Hab das Program mal eben runtergeladen
C:\Document&Settings\<username>\Local Settings\Temp\Temp Datei Silent Runner.zip\ Ob es bei dir so heisst weiss ich nicht,hab ja kein Deutsches XP __________ MfG Argus Dieser Beitrag wurde am 21.12.2005 um 23:43 Uhr von Arnold editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich habe seit zwei Tagen den Trojaner TR/Small.gq1 auf meinem Rechner (gefunden von AntiVir) Ich habe als Betriebssystem Windows XP. Was ich bislang an Veränderungen feststellen konnte waren viele neue Einträge in meiner Favoritenliste und mehrere nicht mehr zu entfernende neue Icons mit diversen Links zu allen möglichen Seiten.
Ich wäre super dankbar, wenn mir jemand mitteilen könnte, was ich jetzt machen kann, um den Trojaner zu entfernen. Beim googeln habe ich nichts finden können.
Bin kein Computerfreak und wäre daher sehr dankbar, wenn die Tips auch soweit wie möglich im Wortschatz für "Dummies" gegeben werden können.
Nachtrag vom 15.12.05
Hallo,
ich habe mich jetzt mal durch die Seiten gewühlt, wo andere Leute ähnliche Probleme haben und deshalb auch mal einen Logfile von HijackThis eingestellt. Nachdem, was ich bislang gelesen habe konnte den meisten damit ja von irgendjemandem geholfen werden. Wäre schön, wenn mein PC auch bakld wieder sauber wäre.
Gruß
Peter
Logfile of HijackThis v1.99.1
Scan saved at 18:39:42, on 15.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\csrss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS.0\System32\nvsvc32.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\wdfmgr.exe
C:\WINDOWS.0\system32\ZoneLabs\vsmon.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\iWare\iWare Mouse\3.2\lwbwheel.exe
C:\WINDOWS.0\system32\sstray.exe
C:\Programme\ahead\InCD\InCD.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\WINDOWS.0\Twain_32\FlatBed\HotKey.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS.0\System32\alg.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\D\D-Info\dinfostarter.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\MediaKey\OSD.EXE
C:\Programme\MediaKey\Versato.exe
C:\WINDOWS.0\system32\wuauclt.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\PETER~1.YOU\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.finanztreff.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R3 - URLSearchHook: (no name) - {4499FBFA-DB60-7E46-5810-FF326917E0D3} - newbreed.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\iWare\iWare Mouse\3.2\lwbwheel.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS.0\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS.0\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [FLKPT] MON76234.exe
O4 - HKLM\..\Run: [stuffmon] Bogobot.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [Versato] C:\Programme\MediaKey\MagicRun.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [new32] DTOURS.exe
O4 - HKCU\..\Run: [utsgmon] Uint32.exe
O4 - HKCU\..\Run: [corrida] control64.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: D-Info Starter.lnk = C:\Programme\D\D-Info\dinfostarter.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: BINGOOO - {81A9A28C-4CB0-42F7-8D6C-04C4BDA768A1} - C:\Programme\D\Adressensuche Internet+D-Info\bingooo.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS.0\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.internetcologne.de
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://ax.emsisoft.com/axscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3286A416-B489-4CD3-ADAA-8707D6ABB3B3}: NameServer = 85.255.115.6,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E4E2183-2BB8-4218-B20F-F1E6A340EBC9}: NameServer = 85.255.115.6,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{9779EADB-1CED-4383-B7B4-9C1B81539EA1}: NameServer = 85.255.115.6,85.255.112.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{B221BCC5-9ABF-47B0-98EA-10367C5EBA86}: NameServer = 85.255.115.6,85.255.112.150
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS.0\system32\ZoneLabs\vsmon.exe