ich weiß nicht wie der Trojaner heisst aber der ärgert mich.. |
||
---|---|---|
#0
| ||
15.04.2006, 01:56
Member
Beiträge: 11 |
||
|
||
15.04.2006, 12:04
Ehrenmitglied
Beiträge: 29434 |
#2
landibaer
l2mfix -> option 2 klicken --> Pc neustarten -> scan abwarten http://virus-protect.org/l2mfix.html öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O4 - HKLM\..\Run: [Microsoft SDKP2] mswinsdp.exe O4 - HKLM\..\RunServices: [Microsoft SDKP2] mswinsdp.exe O4 - HKCU\..\Run: [Microsoft SDKP2] mswinsdp.exe O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\l8j80i1ue8.dll O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing) O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINDOWS\services.exe (file missing) PC neustarten ------------------------------------------------------------------- dann poste bitte alle 4 Logs http://virus-protect.org/datfindbat.html und nicht nur die Haelfte ...noch mal (es fehlte c:\ ..und deshalb kann die Reinigung noch nicht beginnen) Zitat C:\WINDOWS\System32\guard.tmp __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.04.2006, 02:34
Member
Themenstarter Beiträge: 11 |
#3
;-))
hab das mit dem Inhalt von C: noch bemerkt. Hab aber dann gedacht, das wäre nicht so wichtig. ....na ja... um diese späte Stunde kann man sich ja auch einmal täuschen..... ;-)) Ich verusche jetzt mal alle 4 zu senden: Verzeichnis von C:\WINDOWS\system32 15.04.2006 18:41 0 lo2.txtt 15.04.2006 18:36 0 03330.exe 15.04.2006 18:36 83 rom 14.04.2006 21:40 40.326 perfc009.dat 14.04.2006 21:40 311.938 perfh009.dat 14.04.2006 21:40 317.168 perfh007.dat 14.04.2006 21:40 723.108 PerfStringBackup.INI 14.04.2006 21:40 48.552 perfc007.dat 14.04.2006 15:29 13.646 wpa.dbl 28.03.2006 21:20 70 i 18.01.2006 14:05 57.344 avsda.dll 25.12.2005 13:33 99.048 FNTCACHE.DAT 13.11.2005 16:38 13.646 wpa.bak 12.11.2005 13:42 25.065 wmpscheme.xml 12.11.2005 13:36 261 $winnt$.inf 12.11.2005 13:33 2.951 CONFIG.NT 12.11.2005 13:33 16.832 amcompat.tlb 12.11.2005 13:33 23.392 nscompat.tlb Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp 16.04.2006 02:27 460 smurfver.xml 1 Datei(en) 460 Bytes 0 Verzeichnis(se), 36.163.313.664 Bytes frei Verzeichnis von C:\WINDOWS 16.04.2006 02:31 6.514 ModemLog_Agere Systems AC'97 Modem.txt 16.04.2006 02:25 0 0.log 16.04.2006 02:25 2.048 bootstat.dat 16.04.2006 02:24 18.498 SchedLgU.Txt 14.04.2006 21:45 0 nsreg.dat 14.04.2006 21:45 2.370 mozver.dat 14.04.2006 21:40 85.578 comsetup.log 14.04.2006 21:40 32.536 iis6.log 14.04.2006 21:40 52.258 ntdtcsetup.log 14.04.2006 21:40 91.823 tsoc.log 14.04.2006 21:40 4.566 imsins.log 14.04.2006 21:40 11.626 msgsocm.log 14.04.2006 21:40 9.901 ocmsn.log 14.04.2006 21:40 138.539 ocgen.log 14.04.2006 21:40 219.058 FaxSetup.log 14.04.2006 21:40 268.823 setupapi.log 14.04.2006 21:37 1.662.455 WindowsUpdate.log 14.04.2006 17:01 0 keyboard111.dat 14.04.2006 17:00 24.576 keyboard11.exe 08.04.2006 17:02 0 keyboard91.dat 04.04.2006 21:30 50.912 iconu.exe 04.04.2006 20:33 0 keyboard81.dat 29.03.2006 21:54 0 keyboard61.dat 29.03.2006 21:54 40 teller2.chk 29.03.2006 21:51 42.736 icont.exe 29.03.2006 21:35 209 dh.ini 28.03.2006 21:50 43 drsmartload2.dat 28.03.2006 21:50 0 newname.dat 28.03.2006 21:35 578.560 Installer.exe 28.03.2006 21:18 4.730 svcpack.log 28.03.2006 14:07 11.776 DH.dll 24.03.2006 21:21 3.503 KB911927.log 12.01.2006 20:17 3.407 KB908519.log 09.01.2006 14:50 3.308 KB912919.log 26.12.2005 19:36 3.304 KB835409.log 14.11.2005 01:58 69.632 uinst001.exe 14.11.2005 01:31 630 nsw.log 13.11.2005 16:39 707.699 setuplog.txt 13.11.2005 15:07 1.393 imsins.BAK 13.11.2005 15:07 41.548 KB899587.log 13.11.2005 15:07 15.187 updspapi.log 13.11.2005 15:06 40.457 KB896422.log 13.11.2005 15:06 41.458 KB885835.log 13.11.2005 15:05 37.471 KB885836.log 13.11.2005 15:05 652 xpsp1hfm.log 13.11.2005 15:05 32.755 KB835732.log 13.11.2005 15:04 35.982 KB901017.log Verzeichnis von C:\ 16.04.2006 02:32 0 sys.txt 16.04.2006 02:31 6.634 system.txt 16.04.2006 02:31 296 systemtemp.txt 16.04.2006 02:27 82.943 system32.txt 16.04.2006 02:25 301.989.888 pagefile.sys 15.04.2006 02:06 382 files.txt 14.04.2006 17:03 306.124 SnowballWarsInstaller.exe 08.04.2006 17:02 28.024 drsmartload45a.exe 04.04.2006 20:39 578.560 Installer.exe 04.04.2006 20:33 38.650 sk02.exe 28.03.2006 21:50 19.832 drsmartload46a.exe 12.11.2005 13:33 0 CONFIG.SYS 12.11.2005 13:33 0 IO.SYS 12.11.2005 13:33 0 MSDOS.SYS 12.11.2005 13:33 0 AUTOEXEC.BAT 12.11.2005 13:27 194 boot.ini 02.04.2003 14:00 4.952 bootfont.bin 02.04.2003 14:00 47.580 NTDETECT.COM 02.04.2003 14:00 235.296 ntldr 19 Datei(en) 303.339.355 Bytes 0 Verzeichnis(se), 36.163.313.664 Bytes frei Wenn ich mich nicht täusche, müßten es jetzt 4 Stück sein. Bis jetzt hat sich auch noch kein einziges Fenster von alleine geöffnet. So langsam schöpfe ich wieder Hoffnung. Viele Grüße Michael |
|
|
||
16.04.2006, 12:13
Ehrenmitglied
Beiträge: 29434 |
#4
landibaer
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:klicke die gruene Ampel das Sript wird nun ausgeführt, dann wird der PC automatisch neustarten poste das Log vom Avenger __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.04.2006, 14:06
Member
Themenstarter Beiträge: 11 |
#5
Hi,
mit dem Avenger hat etwas nicht so richtig funktioniert. Hab da ein paar Fehlermeldungen: Hab die Dateien dann im abgesicherten Modus manuell gelöscht. War das auch OK? Beim löschen sind auch keine Fehlermeldungen gekommen. Die Inhalte von den 4 Dateien und von hijack hab ich noch mal in dem txt-file: http://www.wobi-abschleppdienst.de/list_files.txt viele Grüße Michael [/url] |
|
|
||
16.04.2006, 14:38
Ehrenmitglied
Beiträge: 29434 |
#6
landibaer
nun hat sich auch noch ein anonymer FTP-Server auf deinem PC breitgemacht...er laedt alles runter, was er will. 1. loeschen: C:\WINDOWS\system32\TFTP1776 2. deaktiviere vorruebergehend die Systemwiederherstellung und mache einen Onlinescan mit Kaspersky http://virus-protect.org/onlinescan.html und poste den scanreport 3. ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren von den Viren erstellte Dienste... muesssen wir noch loeschen .... Zitat O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.04.2006, 14:46
Member
Themenstarter Beiträge: 11 |
#7
das mit dem FTP-Server war wohl SmartFTP. Wollte vorher die Fehlermeldungen kurz hochladen. Dann kam aber die Fehlermeldung, dass die Lizenz von SmartFTP abgelaufen ist. Dann hab ich es eben von meinem eigenen PC hochgeladen.
Ändert das dann etwas an der Vorgehensweise? Gruß Michael |
|
|
||
16.04.2006, 15:04
Ehrenmitglied
Beiträge: 29434 |
#8
loesche es...dennoch. -> C:\WINDOWS\system32\TFTP1776
dann arbeite alles andere ab __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.04.2006, 15:20
Member
Themenstarter Beiträge: 11 |
#9
:-((
Der Kaspersky will einen IE 5 oder höher. Hab den aber schon eliminiert, hab jetzt nur noch den Firefox. TrendMicro funktioniert auch nicht, da er bei fehlenden Plugins (die habe ich aber installiert) hängen bleibt. Gibts da sonst noch einen? Gruß Michael |
|
|
||
16.04.2006, 15:23
Ehrenmitglied
Beiträge: 29434 |
#10
Trend-Micro/HouseCall muesste funktionieren
http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.04.2006, 15:45
Member
Themenstarter Beiträge: 11 |
#11
ich werd jetzt bald wahnsinnig - wenn das wenigstens mein eigener Rechner wäre....
haengt sich immer bei der Installation von dem Java/Teil auf. Gibts sonst noch irgend eine Chance? Wo kann man denn den Zugriff auf den Windows Scrpt Host aktivieren? Ich soll mich an den Admin wenden.... ;-)..... sitze eigentlich davor ;-)) ServiceFilter lässt sich auf jeden Fall nicht starten... :-((( Dieser Beitrag wurde am 16.04.2006 um 16:07 Uhr von landibaer editiert.
|
|
|
||
16.04.2006, 16:44
Ehrenmitglied
Beiträge: 29434 |
#12
Zitat "Der Zugriff auf Windows Script Host wurde für diesen Computer deaktiviert." und ich solle mich an den Administrator wenden.Schau mal, ob es in der Registry (Start -> Ausführen -> regedit) bei dir unter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings einen Eintrag mit dem Namen Enabled gibt. Wenn ja, dann weise diesem den Wert 1 zu, dann ist der Scripting Host wieder aktiviert. (dann den PC neustarten) oder: im XPantispy einstellen, falls es installiert ist ich habe noch andere Proggies (also keine Onlinescans...keine Sorge ) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.04.2006, 16:52
...neu hier
Beiträge: 4 |
#13
Hallo,
ich bin Rentner und habe doch etwas Probleme mit dem was hier so locker geschrieben wird umzusetzen. Vielleicht kann mir aber einer helfen, das wäre schön. Ich habe mir den Popupblocker Ad Muncher installiert und auch in den Autostart gepackt, zeigt mir aber da Uninstall an. Was muss ich machen damit er auch beim Autostart öffnet. Ich hatte auch schon mal Mozilla Firefox installiert, hat mir aber den Trojaner TR/Swizzor.A. nicht bereinigt. Wäre da der Proxomitron besser? Der lässt sich aber auch schwer installieren, das er auch bereinigt. Skorpion811 |
|
|
||
16.04.2006, 17:00
Member
Themenstarter Beiträge: 11 |
#14
Na super - hat funktioniert mit XP-antispy
:-)) Unknown Service # 3 Service Name: LPDSVC Display Name: TCP/IP-Druckserver Start Mode: Manual Start Name: LocalSystem Description: Bietet einen TCP/IP-basierten Druckdienst, der das 'Line Printer'-Protokoll ... Service Type: Share Process Path: c:\windows\system32\tcpsvcs.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 4 Service Name: Print Spooler Display Name: Print Spool Handler Start Mode: Auto Start Name: LocalSystem Description: Mapping the end point spool to the begin ... Service Type: Own Process Path: c:\windows\system32\spooler.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 6 Service Name: Windows Update Service Display Name: Microsoft Windows Update Service Start Mode: Auto Start Name: LocalSystem Description: Microsoft Windows Update ... Service Type: Own Process Path: "c:\windows\services.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch ---> End Service Listing <--- There are 79 Win32 services on this machine. 6 were unrecognized. Script Execution Time: 3,4375 seconds. |
|
|
||
16.04.2006, 17:03
Ehrenmitglied
Beiträge: 29434 |
#15
Skorpion811
der Firefox bereinigt Keine Trojaner, denn es ist ein Browser, wie der IE. PopUpblocker sind ebenfalls sinnlos.... Scanne mit Panda http://virus-protect.org/onlinescan.html und kopiere den Scanreport hier. Dann helfe ich dir. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
jetzt habe ich schon so viele threads hier gelesen, aber so richtig weiter bin ich immer noch nicht gekommen. Wie bei so vielen hier gehen ständig irgend welche neue Tasks in meinem Firefox auf.
In der Zwischenzeit hab ich auch schon alle möglichen Programme herunter geladen, was bei meiner analogen leitung ganz schoen langwierig ist.
u.a. ad-aware, cleanup, neue version von antivir, hijack, neuen Firefox.....
Ich werd jetzt aber bald wahnsinnig, wöre super wenn irgend einer helfen könnte.
Den Report von Hijack hab ich mal...
Logfile of HijackThis v1.99.1
Scan saved at 00:48:52, on 15.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\WINDOWS\System32\VTtrayp.exe
C:\WINDOWS\System32\VTTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WEBDE\SmartSurfer\SmartSurfer.exe
C:\Programme\OpenOffice.org1.1.1\program\soffice.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Microsoft SDKP2] mswinsdp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Microsoft SDKP2] mswinsdp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft SDKP2] mswinsdp.exe
O4 - Startup: OpenOffice.org 1.1.1.lnk = C:\Programme\OpenOffice.org1.1.1\program\quickstart.exe
O4 - Startup: WEB.DE SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer\SmartSurfer.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131883663156
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD95510B-92FB-4DB6-A4A2-EB314C3CBBC0}: NameServer = 212.60.192.100 212.60.192.101
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\l8j80i1ue8.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing)
O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINDOWS\services.exe (file missing)
Das listing einer bat-dateien
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3438-7FA1
Verzeichnis von C:\WINDOWS\tasks
12.11.2005 13:33 <DIR> .
12.11.2005 13:33 <DIR> ..
02.04.2003 14:00 65 desktop.ini
14.04.2006 23:49 6 SA.DAT
2 Datei(en) 71 Bytes
Inhalt:
15.04.2006 02:12 233.649 guard.tmp
15.04.2006 02:04 233.649 lr32.dll
15.04.2006 00:08 237.314 dn8001lme.dll
14.04.2006 23:48 233.649 jt2u07f9e.dll
14.04.2006 23:27 233.649 iartrmgr.dll
14.04.2006 21:40 311.938 perfh009.dat
14.04.2006 21:40 40.326 perfc009.dat
14.04.2006 21:40 48.552 perfc007.dat
14.04.2006 21:40 723.108 PerfStringBackup.INI
14.04.2006 21:40 317.168 perfh007.dat
14.04.2006 21:13 237.314 daound.dll
14.04.2006 15:29 237.314 lurmonui.dll
14.04.2006 15:29 13.646 wpa.dbl
08.04.2006 16:38 235.716 cnyptdll.dll
04.04.2006 21:12 235.716 djmsadsn.dll
04.04.2006 21:03 236.611 hr0005dme.dll
04.04.2006 21:03 235.716 mhcshext.dll
04.04.2006 20:39 235.018 o6nslg5716.dll
04.04.2006 20:39 234.272 fzntsub.dll
04.04.2006 20:19 235.716 nfevtmsg.dll
29.03.2006 21:55 234.272 l66olgj316o.dll
29.03.2006 21:33 234.272 wzbclnt.dll
28.03.2006 21:20 70 i
18.01.2006 14:05 57.344 avsda.dll
Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp
15.04.2006 02:12 460 smurfver.xml
1 Datei(en) 460 Bytes
0 Verzeichnis(se), 36.195.274.752 Bytes frei
Verzeichnis von C:\WINDOWS
15.04.2006 02:10 6.520 ModemLog_Agere Systems AC'97 Modem.txt
15.04.2006 02:04 0 0.log
15.04.2006 02:04 2.048 bootstat.dat
15.04.2006 02:03 17.740 SchedLgU.Txt
14.04.2006 21:45 0 nsreg.dat
14.04.2006 21:45 2.370 mozver.dat
14.04.2006 21:40 85.578 comsetup.log
14.04.2006 21:40 32.536 iis6.log
14.04.2006 21:40 52.258 ntdtcsetup.log
14.04.2006 21:40 91.823 tsoc.log
14.04.2006 21:40 4.566 imsins.log
14.04.2006 21:40 11.626 msgsocm.log
14.04.2006 21:40 9.901 ocmsn.log
14.04.2006 21:40 138.539 ocgen.log
14.04.2006 21:40 219.058 FaxSetup.log
14.04.2006 21:40 268.823 setupapi.log
14.04.2006 21:37 1.662.455 WindowsUpdate.log
14.04.2006 17:01 0 keyboard111.dat
14.04.2006 17:00 24.576 keyboard11.exe
08.04.2006 17:02 0 keyboard91.dat
04.04.2006 21:30 50.912 iconu.exe
04.04.2006 20:33 0 keyboard81.dat
29.03.2006 21:54 0 keyboard61.dat
29.03.2006 21:54 40 teller2.chk
29.03.2006 21:51 42.736 icont.exe
29.03.2006 21:35 209 dh.ini
28.03.2006 21:50 43 drsmartload2.dat
28.03.2006 21:50 0 newname.dat
28.03.2006 21:35 578.560 Installer.exe
28.03.2006 21:18 4.730 svcpack.log
28.03.2006 14:07 11.776 DH.dll
24.03.2006 21:21 3.503 KB911927.log
12.01.2006 20:17 3.407 KB908519.log
09.01.2006 14:50 3.308 KB912919.log
26.12.2005 19:36 3.304 KB835409.log
Das ist richtig schwer hier etwas zu schreiben, da sich immer wieder neue tasks öffnen.
Ich hab auch schon versucht, online den Virenscanner zu starten. Da bleibt der PC aber immer irgend wie hängen.
Wäre super wenn irgend einer helfen könnte, bin jetzt schon mehr als 7h auf der Suche. Jetzt leg ich mich aber doch mal auf Ohr.
Viele Grüße Michael