Trojaner TR/Dldr.Agent.uj.1 läßt sich nicht löschen |
||
---|---|---|
#0
| ||
20.01.2006, 11:57
Ehrenmitglied
Beiträge: 29434 |
||
|
||
20.01.2006, 13:09
Member
Themenstarter Beiträge: 22 |
#17
Hallo Sabine,
nochmal ganz herzlichen Dank für deine schnelle und kompetente Hilfe !!! Würde, wenn möglich doch noch gerne wissen, was das für ein Trojaner war und welchen Schaden der genau anrichtet. Hatte bis dato noch nie solche Probleme und werde aufpassen, dass das nicht wieder passiert! MfG Sarasara |
|
|
||
12.04.2006, 13:35
Member
Beiträge: 19 |
#18
Ein Fan dieses Forums (ME) sieht sich gezwungen zum selben Thema zu nerven.
TR/Dldr.Agent.uj.1 das selbe Problem und Null-Ahnung wie ich ihn klein bekomme. Zudem scheint mein Rechner ziehmlich verseucht zu sein. Trotz Spybot und Antivir. Hat jemand Zeit mir zu helfen ? Danke Dieser Beitrag wurde am 12.04.2006 um 18:58 Uhr von Leyje editiert.
|
|
|
||
12.04.2006, 14:57
Ehrenmitglied
Beiträge: 29434 |
#19
Leyje
1. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 2. Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html 3. Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.04.2006, 16:58
Member
Beiträge: 19 |
#20
Die Antwort hier kam aber wie aus der Kanone. Danke!
Dann hoffe ich mal das ich das nun richtig gemacht habe (Habe oft als DAU fungiert.) Logfile of HijackThis v1.99.1 Scan saved at 16:55:42, on 12.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe D:\Ideazon\Zboard Software\Driver\ZboardTray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\sstray.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe D:\Ideazon\Zboard Software\Driver\Zboard.exe C:\Programme\AntiVir PersonalEdition Premium\sched.exe C:\Programme\AntiVir PersonalEdition Premium\avguard.exe C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\System32\alg.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe C:\Programme\Mozilla Firefox\firefox.exe D:\Programme\HJT\HijackThis.exe R3 - URLSearchHook: (no name) - {CBDFB6A8-8B5E-7BB9-2BB0-F315C382B500} - stuffmon.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {4D855DFC-2DB5-43F0-814A-257F4C074CF1} - C:\WINDOWS\System32\pekgea.dll (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll O2 - BHO: IEHelper - {7576af59-76ba-46fc-9876-624f1814d885} - C:\WINDOWS\System32\Q2497828.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\winupd.exe O4 - HKLM\..\Run: [Upgrade Sarvice] C:\WINDOWS\sxchost.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKCU\..\Run: [Two Degrees] "D:\Two Degrees\Two Degrees.exe" /server O4 - HKCU\..\Run: [Trayz] ssweeper.exe O4 - HKCU\..\Run: [br0ken] driver32.exe O4 - HKCU\..\Run: [NSYSCPLSTR] stuffmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Spyware Doctor] "D:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - Global Startup: SATARaid.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O10 - Broken Internet access because of LSP provider 'avsda.dll' missing O16 - DPF: {12F7F128-B36C-4843-8AA4-A5F71A969331} (Launcher Control) - https://horizons.eu.istaria.com/controls/launcher.ocx O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135383880609 O17 - HKLM\System\CCS\Services\Tcpip\..\{1C1582CD-1FF9-4738-83BF-02FDA8CBBDCB}: NameServer = 85.255.115.107 O17 - HKLM\System\CCS\Services\Tcpip\..\{5CCE15A1-AF94-41D7-AC98-E11E62D6B41C}: NameServer = 85.255.115.107 O17 - HKLM\System\CCS\Services\Tcpip\..\{9106E3B7-2E44-4C42-8DA5-D7E5C3FD54D5}: NameServer = 217.237.151.225 217.237.150.225 O17 - HKLM\System\CCS\Services\Tcpip\..\{9B42153A-5C4E-4DB3-8507-E0AB2F85E80D}: NameServer = 85.255.115.107 O17 - HKLM\System\CS1\Services\Tcpip\..\{1C1582CD-1FF9-4738-83BF-02FDA8CBBDCB}: NameServer = 85.255.115.107 O20 - Winlogon Notify: Zboard - C:\WINDOWS\SYSTEM32\Winlognotif.dll O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Engine Service (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe Datentrger in Laufwerk C: ist Betriebssystem Volumeseriennummer: A8AA-CD46 Verzeichnis von C:\ 12.04.2006 16:28 0 sys.txt 12.04.2006 16:28 8.634 system.txt 12.04.2006 16:27 134 systemtemp.txt 12.04.2006 16:27 99.806 system32.txt 12.04.2006 16:26 135.901 errlgr.txt 12.04.2006 16:26 805.306.368 pagefile.sys 08.04.2006 05:03 160 TO_InstallLog.txt 08.04.2006 04:47 211 boot.ini 21.03.2006 23:30 1.555 TDSLCheck.txt Datentrger in Laufwerk C: ist Betriebssystem Volumeseriennummer: A8AA-CD46 Verzeichnis von C:\WINDOWS 12.04.2006 16:27 0 0.log 12.04.2006 16:27 1.674.624 WindowsUpdate.log 12.04.2006 16:26 2.048 bootstat.dat 12.04.2006 16:25 32.632 SchedLgU.Txt 12.04.2006 16:21 30.663 setupact.log 12.04.2006 16:19 3.031 KB911562.log 12.04.2006 16:18 673 win.ini 12.04.2006 16:18 5.488 KB911567.log 12.04.2006 16:13 603.242 ntbtlog.txt 12.04.2006 09:29 116 NeroDigital.ini 11.04.2006 22:04 54.156 QTFont.qfn 08.04.2006 04:56 606.380 setupapi.log 08.04.2006 04:47 227 system.ini 04.04.2006 22:33 182.001 wmsetup.log 17.02.2006 17:07 29.930 spupdsvc.log 17.02.2006 00:46 1.374 imsins.log 17.02.2006 00:46 104.865 iis6.log 17.02.2006 00:46 249.536 comsetup.log 17.02.2006 00:46 303.413 tsoc.log 17.02.2006 00:46 158.240 ntdtcsetup.log 17.02.2006 00:46 37.484 ocmsn.log 17.02.2006 00:46 10.617 KB911927.log 17.02.2006 00:46 453.299 ocgen.log 17.02.2006 00:46 38.580 msgsocm.log 17.02.2006 00:46 707.088 FaxSetup.log 17.02.2006 00:46 25.708 updspapi.log 17.02.2006 00:46 5.542 KB911564.log 17.02.2006 00:46 6.019 KB911565.log 17.02.2006 00:46 6.632 KB913446.log 06.02.2006 17:44 2.428 mozver.dat 30.01.2006 09:12 459 wmsetup10.log 30.01.2006 09:10 316.640 WMSysPr9.prx 27.01.2006 06:13 178.997 DirectX.log 26.01.2006 04:11 0 nsreg.dat 26.01.2006 04:07 107.132 UninstallFirefox.exe 13.01.2006 17:19 11.041 KB912919.log 13.01.2006 17:19 10.160 KB908519.log 01.01.2006 19:01 1.812 regopt.log 21.12.2005 03:12 4.395 rdt.ini 15.12.2005 07:00 10.406 KB910437.log 15.12.2005 07:00 16.284 KB905915.log Datentrger in Laufwerk C: ist Betriebssystem Volumeseriennummer: A8AA-CD46 Verzeichnis von C:\WINDOWS\system32 12.04.2006 16:10 1.884 ikhcore.log 11.04.2006 13:03 12.598 wpa.dbl 06.04.2006 21:48 5.143.456 MRT.exe 27.03.2006 18:35 401.064 perfh009.dat 27.03.2006 18:35 415.470 perfh007.dat 27.03.2006 18:35 62.344 perfc009.dat 27.03.2006 18:35 966.250 PerfStringBackup.INI 27.03.2006 18:35 74.996 perfc007.dat 28.02.2006 08:42 7.006 jupdate-1.5.0_06-b05.log 06.02.2006 17:41 176.167 rmoc3260.dll 06.02.2006 17:41 5.632 pndx5032.dll 06.02.2006 17:41 6.656 pndx5016.dll 06.02.2006 17:41 278.528 pncrt.dll 30.01.2006 09:10 16.832 amcompat.tlb 30.01.2006 09:10 23.392 nscompat.tlb 26.01.2006 09:57 520.192 ati2sgag.exe 25.01.2006 05:52 255.488 ati2dvag.dll 25.01.2006 05:47 114.688 atipdlxx.dll 25.01.2006 05:47 77.824 Oemdspif.dll 25.01.2006 05:46 26.112 Ati2mdxx.exe 25.01.2006 05:46 41.472 ati2edxx.dll 25.01.2006 05:46 61.440 ati2evxx.dll 25.01.2006 05:45 405.504 ati2evxx.exe 25.01.2006 05:44 53.248 ATIDDC.DLL 25.01.2006 05:36 2.604.128 ati3duag.dll 25.01.2006 05:30 6.684.672 atioglx1.dll 25.01.2006 05:30 860.192 ativvaxx.dll 25.01.2006 05:28 307.200 atiiiexx.dll 25.01.2006 05:16 151.552 atikvmag.dll 25.01.2006 05:16 17.408 atitvo32.dll 25.01.2006 05:13 5.115.904 atioglxx.dll 25.01.2006 05:10 258.048 ati2cqag.dll 25.01.2006 04:29 282.624 ATIDEMGR.dll 18.01.2006 14:05 57.344 avsda.dll 14.01.2006 02:43 115.445 NULL 04.01.2006 05:35 68.096 webclnt.dll 29.12.2005 04:54 280.064 gdi32.dll 11.12.2005 16:20 4.984 close.bmp 11.12.2005 16:20 19.712 insurance.bmp 11.12.2005 16:20 11.772 spyware.bmp 11.12.2005 16:20 21.224 xxx.bmp 11.12.2005 16:20 21.872 pharmacy.bmp 11.12.2005 16:20 21.872 dating.bmp 11.12.2005 16:20 23.480 gambling.bmp 11.12.2005 16:20 387 idesk.conf 09.12.2005 00:01 112.421 atiicdxx.dat 06.12.2005 07:02 5.533.696 wmp.dll 02.12.2005 20:20 6.005 atifglpf.xml 01.12.2005 05:31 1.492.480 shdocvw.dll 2042 Datei(en) 429.655.723 Bytes 0 Verzeichnis(se), 4.240.543.744 Bytes frei Datentrger in Laufwerk C: ist Betriebssystem Volumeseriennummer: A8AA-CD46 Verzeichnis von C:\DOKUME~1\Leyje\LOKALE~1\Temp Dieser Beitrag wurde am 12.04.2006 um 18:51 Uhr von Leyje editiert.
|
|
|
||
12.04.2006, 17:56
Ehrenmitglied
Beiträge: 29434 |
#21
meine Antwort war schnell aber deine leider unvollstaendig..wo sind die 4 Logs von datfindbat ?
+ poste auch dieses log: Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine Log-Datei (txt) auf dem Desktop __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.04.2006, 18:56
Member
Beiträge: 19 |
#22
hmm .. da hatte ich wohl was falsch verstanden .. die vier Dateien sind oben angefügt und das andere Ergebnis nun hier unten
04/12/06 18:55:19 [Info]: BlackLight Engine 1.0.35 initialized 04/12/06 18:55:19 [Info]: OS: 5.1 build 2600 (Service Pack 2) 04/12/06 18:55:19 [Note]: 7019 4 04/12/06 18:55:19 [Note]: 7005 0 04/12/06 18:55:26 [Note]: 7006 0 04/12/06 18:55:26 [Note]: 7011 1324 04/12/06 18:55:27 [Note]: 7026 0 04/12/06 18:55:27 [Note]: 7026 0 04/12/06 18:55:27 [Note]: FSRAW library version 1.7.1015 04/12/06 18:55:43 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe 04/12/06 18:55:43 [Note]: 10002 1 04/12/06 18:55:44 [Info]: Hidden file: C:\WINDOWS\system32\csdvd.exe 04/12/06 18:55:44 [Note]: 7002 32 04/12/06 18:55:44 [Note]: 7003 1 04/12/06 18:55:44 [Note]: 10002 1 04/12/06 18:55:44 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe 04/12/06 18:55:44 [Note]: 10002 1 04/12/06 18:56:27 [Note]: 7007 0 Danke |
|
|
||
12.04.2006, 23:02
Ehrenmitglied
Beiträge: 29434 |
#23
Leyje
was ist das fuer ein Tool ?? O4 - HKCU\..\Run: [Two Degrees] "D:\Two Degrees\Two Degrees.exe" /server ------------------------------------------------------------------------------------ 1. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT42. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:klicke auf die gruene Ampel das Sript wird nun ausgeführt, dann wird der PC automatisch neustarten poste mir unbedingt den scanreport vom Avenger !! ------------------------------------------------------------------------------ 3. es kann sein, dass du nach neustart eine neue Internetverbindung erstellen musst öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R3 - URLSearchHook: (no name) - {CBDFB6A8-8B5E-7BB9-2BB0-F315C382B500} - stuffmon.dll (file missing) O2 - BHO: (no name) - {4D855DFC-2DB5-43F0-814A-257F4C074CF1} - C:\WINDOWS\System32\pekgea.dll (file missing) O2 - BHO: IEHelper - {7576af59-76ba-46fc-9876-624f1814d885} - C:\WINDOWS\System32\Q2497828.dll (file missing) O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\winupd.exe O4 - HKLM\..\Run: [Upgrade Sarvice] C:\WINDOWS\sxchost.exe O4 - HKCU\..\Run: [Trayz] ssweeper.exe O4 - HKCU\..\Run: [br0ken] driver32.exe O4 - HKCU\..\Run: [NSYSCPLSTR] stuffmon.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{1C1582CD-1FF9-4738-83BF-02FDA8CBBDCB}: NameServer = 85.255.115.107 O17 - HKLM\System\CCS\Services\Tcpip\..\{5CCE15A1-AF94-41D7-AC98-E11E62D6B41C}: NameServer = 85.255.115.107 O17 - HKLM\System\CCS\Services\Tcpip\..\{9B42153A-5C4E-4DB3-8507-E0AB2F85E80D}: NameServer = 85.255.115.107 O17 - HKLM\System\CS1\Services\Tcpip\..\{1C1582CD-1FF9-4738-83BF-02FDA8CBBDCB}: NameServer = 85.255.115.107 PC neustarten 4. Download FixWareout: http://swandog46.geekstogo.com/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt ----------------------- 5. smitRem http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok 6. Starte den PC neu --> in den abgesicherten Modus (Taste F8 drücken, wenn der PC hochfährt) ** Die Datei "fixme.reg" auf dem Desktop doppelklicken ud der Registry beifugen ** - * öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) wenn ein uninstaller vorhanden ist, den smitRem entfernt, wird der uninstaller gestartet. Klicke einfach den Uninstall button und warte, bis deinstalliert wurde. ---------------------- 7. C:\Programme\UnSpyPC --> deinstallieren und alles loeschen (falls es vorhanden ist.....) ---------------------- boote wieder in den Normalmodus 7. scanne mit ewido und poste den scanreport http://virus-protect.org/ewido.html ------------------------------------------------------------------------ Troj/Tofger-I http://www.sophos.de/virusinfo/analyses/trojtofgeri.html Troj/Tofger-U http://www.sophos.de/virusinfo/analyses/trojtofgeru.html Die Trojaner-Komponente zum Speichern von Tastenfolgen registriert sich als Dienstprozess und löscht alle URL-Einträge im Cache-Speicher. Sie speichert dann Tastenfolgen, den Inhalt der Zwischenablage und Daten, die sie in bestimmten Fenstern gefunden hat, in einer Datei im Windows-Ordner namens SDSINI.INI. ** __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.04.2006, 07:31
Member
Beiträge: 19 |
#24
--> D:\Two Degrees\Two Degrees.exe <-- ich habe nicht den geringsten Schimmer...kann es sein das es ein Virenscannprogramm ist? Finden kann ich es auf der D: Partition nicht mehr. Ein Bekannter hat sich ja hier am Rechner schon die Zähne an diesem Teil ausgebrochen und ist geflohen.
Text in den Editor (Start - Zubehör - Editor) : Kein Editor! mit dem txt Editor gehts nicht , wenn ich das richtig erfasst habe: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\defmwtcl ******************* Script file located at: ltdxjexr Could not open script file! Error Could not open script file! Status: 0xc000003b Abort! -->!! Nachtrag: Editor organisiert. Ergebnis: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\gghwokcu ******************* Script file located at: \??\C:\WINDOWS\ihvucmpd.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\rdt.ini deleted successfully. File C:\WINDOWS\sdsini.ini deleted successfully. File C:\WINDOWS\system32\csdvd.exe not found! Deletion of file C:\WINDOWS\system32\csdvd.exe failed! Could not process line: C:\WINDOWS\system32\csdvd.exe Status: 0xc0000034 File C:\WINDOWS\system32\filesafer23.exe deleted successfully. File C:\WINDOWS\system32\ikhcore.log deleted successfully. File C:\WINDOWS\winupd.exe not found! Deletion of file C:\WINDOWS\winupd.exe failed! Could not process line: C:\WINDOWS\winupd.exe Status: 0xc0000034 File C:\WINDOWS\sxchost.exe not found! Deletion of file C:\WINDOWS\sxchost.exe failed! Could not process line: C:\WINDOWS\sxchost.exe Status: 0xc0000034 File C:\WINDOWS\system32\close.bmp deleted successfully. File C:\WINDOWS\system32\insurance.bmp deleted successfully. File C:\WINDOWS\system32\spyware.bmp deleted successfully. File C:\WINDOWS\system32\xxx.bmp deleted successfully. File C:\WINDOWS\system32\pharmacy.bmp deleted successfully. File C:\WINDOWS\system32\dating.bmp deleted successfully. File C:\WINDOWS\system32\gambling.bmp deleted successfully. File C:\WINDOWS\system32\idesk.conf deleted successfully. File C:\WINDOWS\system32\atiicdxx.dat deleted successfully. File C:\WINDOWS\system32\atifglpf.xml deleted successfully. Completed script processing. ******************* Finished! Terminate. und das Ewido Ergebnis --------------------------------------------------------- ewido anti-malware - Scan Report --------------------------------------------------------- + Erstellt am: 11:22:05, 13.04.2006 + Report-Checksumme: 90236E41 + Scanergebnis: C:\avenger\backup.zip/avenger/filesafer23.exe -> Hijacker.Small : Gesäubert mit Backup D:\TDSLTest\DSLC.exe -> Heuristic.Win32.Dialer : Gesäubert mit Backup ::Report Ende Dieser Beitrag wurde am 13.04.2006 um 11:22 Uhr von Leyje editiert.
|
|
|
||
13.04.2006, 12:52
Ehrenmitglied
Beiträge: 29434 |
#25
0.
C:\avenger\backup.zip --> loeschen 1. fixe mit dem HijackThis: O4 - HKCU\..\Run: [Two Degrees] "D:\Two Degrees\Two Degrees.exe" /server PC neustarten 2. Download FixWareout: http://swandog46.geekstogo.com/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt --> hier posten 3. dann poste das Log vom Silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.04.2006, 13:55
Member
Beiträge: 19 |
#26
zum Ersten:
Fixwareout ver 1.003 Last edited 2/15/2006 Post this report in the forums please Reg Entries that were deleted ... Random Runs removed from HKLM REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ... PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»» Search by size and names... »»»»» Misc files »»»»» Checking for older varients covered by the Rem3 tool -------------------------------------------------------------- zum Zweiten: "Silent Runners.vbs", revision 44, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Trayz" = "ssweeper.exe" [file not found] "br0ken" = "driver32.exe" [file not found] "NSYSCPLSTR" = "stuffmon.exe" [file not found] "SpybotSD TeaTimer" = "D:\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"] "Spyware Doctor" = ""D:\Programme\Spyware Doctor\swdoctor.exe" /Q" [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."] "nForce Tray Options" = "sstray.exe /r" ["NVIDIA Corporation"] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" [file not found] "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."] "Upgrade Service" = "C:\WINDOWS\winupd.exe" [file not found] "Upgrade Sarvice" = "C:\WINDOWS\sxchost.exe" [file not found] "WinampAgent" = "C:\Programme\Winamp\winampa.exe" [file not found] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "InCD" = "C:\Programme\Ahead\InCD\InCD.exe" ["Ahead Software AG"] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min" ["H+BEDV Datentechnik GmbH"] "TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] "ATICCC" = ""C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay" [null data] HKLM\Software\Microsoft\Active Setup\Installed Components\ >{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer" \StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS] >{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express" \StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {4D855DFC-2DB5-43F0-814A-257F4C074CF1}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\System32\pekgea.dll" [file not found] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "D:\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {7576af59-76ba-46fc-9876-624f1814d885}\(Default) = (no title provided) -> {HKLM...CLSID} = "IEHelper" \InProcServer32\(Default) = "C:\WINDOWS\System32\Q2497828.dll" [file not found] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" [file not found] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {HKLM...CLSID} = "Portable Media Devices" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW" -> {HKLM...CLSID} = "Shell Extension for CDRW" \InProcServer32\(Default) = "C:\Programme\Ahead\InCD\incdshx.dll" ["Ahead Software AG"] "{1CC513EE-A20D-4f42-BDAF-4BE42BCDB6EC}" = "UIM File Extension" -> {HKLM...CLSID} = "UimShlExt Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\UimExt.dll" [empty string] "{1CC513AE-A20D-4f42-BDAF-4BE42BCDB6EC}" = "UIM Drive Extension" -> {HKLM...CLSID} = "UimDriveExt Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\UimExt.dll" [empty string] "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band" -> {HKLM...CLSID} = "Shell Search Band" \InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Premium\shlext.dll" ["H+BEDV Datentechnik GmbH"] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "D:\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension" -> {HKLM...CLSID} = "SimpleShlExt Class" \InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string] "{e82a2d71-5b2f-43a0-97b8-81be15854de8}" = "ShellLink for Application References" -> {HKLM...CLSID} = "ShellLink for Application References" \InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS] "{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}" = "Shell Icon Handler for Application References" -> {HKLM...CLSID} = "Shell Icon Handler for Application References" \InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "D:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ "System" = (value not set) HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] INFECTION WARNING! Zboard\DLLName = "Winlognotif.dll" [null data] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {HKLM...CLSID} = "Ctest Object" \InProcServer32\(Default) = "D:\Programme\ewido anti-malware\context.dll" ["ewido networks"] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Premium\shlext.dll" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {HKLM...CLSID} = "Ctest Object" \InProcServer32\(Default) = "D:\Programme\ewido anti-malware\context.dll" ["ewido networks"] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Premium\shlext.dll" ["H+BEDV Datentechnik GmbH"] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Startup items in "Leyje" & "All Users" startup folders: ------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "SATARaid" -> shortcut to: "C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe" ["Silicon Image, Inc."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: avsda.dll ["H+BEDV Datentechnik GmbH"], 01 - 02, 22 %SystemRoot%\system32\mswsock.dll [MS], 03 - 05, 08 - 21 %SystemRoot%\system32\rsvpsp.dll [MS], 06 - 07 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.5.0_06" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Engine Service, AVEService, "C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe" ["Avira GmbH"] AntiVir Mail Security Service, AntiVirMailService, "C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe" ["Avira GmbH"] AntiVir PersonalEdition Premium Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Premium\avguard.exe" ["AVIRA GmbH"] AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Premium\sched.exe" ["Avira GmbH"] Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."] ewido security suite control, ewido security suite control, "D:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"] ewido security suite guard, ewido security suite guard, "D:\Programme\ewido anti-malware\ewidoguard.exe" ["ewido networks"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ BJ Language Monitor2\Driver = "CNBJMON2.DLL" [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 47 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 12 seconds. ---------- (total run time: 92 seconds) Jetzt würde ich gerne verstehen was da eigentlich alles läuft .. danke nochmal Dieser Beitrag wurde am 13.04.2006 um 14:03 Uhr von Leyje editiert.
|
|
|
||
13.04.2006, 14:02
Ehrenmitglied
Beiträge: 29434 |
#27
dann poste das Log vom Silentrunner
http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.04.2006, 14:16
Ehrenmitglied
Beiträge: 29434 |
#28
1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT42. in den abgesicherten Modus starten und die fix.reg der Registry beifuegen. 3. dann scanne mit Kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.04.2006, 14:38
Member
Beiträge: 19 |
#29
hmm .. Kaspersky funktioniert wohl mit Firefox/Mozila nicht, wenn ich das richtig lese. Ist aber der einzige Browser auf meinem Rechner.
Nachtrag: Habe Kaspersky mit anderem Browser starten können. Ergebis wird nachgreicht. Dieser Beitrag wurde am 13.04.2006 um 17:28 Uhr von Leyje editiert.
|
|
|
||
13.04.2006, 16:33
Ehrenmitglied
Beiträge: 29434 |
#30
wie machst du ohne IE die WindowsUpdates ???
ich glaube, Trend-Micro/HouseCall funktioniert auch mit dem Mozilla. http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
es ist alles wieder in bester Ordnung . Deinstalliere ewido wieder. Surfe mit mehr Vorsicht...meide gewisse Seiten.
Installiere Firefox und surfe nur noch mit ihm
http://virus-protect.org/firefox.html
Alles Gute fuer dich + PC
__________
MfG Sabina
rund um die PC-Sicherheit