win32/Trojandropper.VB.NAI < wie bekomme ich ihn weg? |
||
---|---|---|
#0
| ||
31.05.2006, 21:46
...neu hier
Beiträge: 8 |
||
|
||
31.05.2006, 23:10
Ehrenmitglied
Beiträge: 29434 |
#2
da ist neben einem Purityscan, noch ein Backdoor und anderes "Ungeziefer " drauf..........
1. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 2. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html 3. Start > Ausfuehren --> reinschreiben --> cmd.exe und ok. kopiere rein und poste alles, was im Texteditor erscheint dir /s /a "c:\userinit*.*" > c:\find.txt & start notepad c:\find.txt dir /s /a "c:\w?nlogon*.*" > c:\find.txt & start notepad c:\find.txt dir /s /a "c:\mc-110-12-0000140*.*" > c:\find.txt & start notepad c:\find.txt « __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.05.2006, 23:25
...neu hier
Themenstarter Beiträge: 8 |
#3
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D0DC-C51C Verzeichnis von C:\WINDOWS\system32 31.05.2006 22:51 2 wnsintsv.exe 31.05.2006 22:51 81.920 netdde.dll 31.05.2006 21:57 2.626 CONFIG.NT 31.05.2006 18:05 47 imon1.dat 31.05.2006 11:02 624.640 aswBoot.exe 31.05.2006 10:54 90.112 AVASTSS.scr 30.05.2006 23:15 36.864 setup.exe.tmp 30.05.2006 22:08 45 1149019734.(null) 30.05.2006 21:24 442 mapisvc.inf 30.05.2006 21:24 245.760 imon.dll 30.05.2006 21:24 114.688 nms32.dll 30.05.2006 21:23 2.206 wpa.dbl 03.05.2006 21:26 5.818.784 MRT.exe 13.04.2006 17:07 242.328 FNTCACHE.DAT 01.04.2006 12:21 42.222 perfc009.dat 01.04.2006 12:21 317.326 perfh009.dat 01.04.2006 12:21 364.448 PerfStringBackup.INI 08.03.2006 17:12 49.152 inetwh32.dll 08.03.2006 17:12 1.044.480 roboex32.dll 02.02.2006 15:09 53.248 unrar.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D0DC-C51C Verzeichnis von C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp 31.05.2006 23:06 77.080 jusched.log 31.05.2006 22:51 49.152 ~DFDE7B.tmp 31.05.2006 22:50 72.704 !update.exe 31.05.2006 21:41 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}22016.html 31.05.2006 21:39 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}22250.html 31.05.2006 18:06 16.384 ~DFDD01.tmp 31.05.2006 18:06 16.384 ~DFC741.tmp 31.05.2006 18:05 14.010 temp.frA806 31.05.2006 16:32 0 EPSLog.txt 31.05.2006 16:32 499.106 ~K2006b.jpg 31.05.2006 16:22 657.453 ~K2006a.jpg 31.05.2006 16:22 587.331 ~K20069.jpg 31.05.2006 16:21 499.106 ~K20068.jpg 31.05.2006 16:21 510.311 ~K20067.jpg 31.05.2006 14:39 568.305 ~K20066.jpg 31.05.2006 14:35 474.955 ~K20065.jpg 31.05.2006 14:30 489.334 ~K20064.jpg 31.05.2006 14:29 0 LaunchBrowser.html 31.05.2006 00:29 409 NDrE9.tmp.html 31.05.2006 00:18 409 NDrB1.tmp.html 30.05.2006 23:15 65 id.id 30.05.2006 23:15 16.384 ~DF3C90.tmp 30.05.2006 23:15 16.384 ~DF1698.tmp 30.05.2006 23:14 16.384 ~DF7E5B.tmp 30.05.2006 23:12 10.165 temp.fr8D5A 30.05.2006 22:59 16.384 ~DF8ED6.tmp 30.05.2006 22:59 16.384 ~DF5FB8.tmp 30.05.2006 22:33 45 ACSE.tmp 30.05.2006 22:17 34 ACSD.tmp 30.05.2006 22:17 45 ACSC.tmp 30.05.2006 22:06 16.384 ~DF7746.tmp 30.05.2006 21:45 16.384 ~DF790E.tmp 30.05.2006 21:43 16.384 Perflib_Perfdata_5b4.dat 30.05.2006 21:43 820.760 IH6A.tmp 30.05.2006 21:42 16.384 ~DFBAAB.tmp 30.05.2006 21:36 1.455 Microsoft Office 2003 Setup(0004).txt 30.05.2006 21:31 1.455 Microsoft Office 2003 Setup(0003).txt 30.05.2006 21:31 1.455 Microsoft Office 2003 Setup(0002).txt 30.05.2006 21:29 16.384 ~DF59D9.tmp 30.05.2006 21:26 16.384 ~DF544D.tmp 30.05.2006 21:23 1.455 Microsoft Office 2003 Setup(0001).txt 30.05.2006 21:23 16.384 ~DF11FA.tmp 30.05.2006 21:23 16.384 ~DFC25.tmp 30.05.2006 16:16 147.456 ~WRF3646.tmp 29.05.2006 18:09 8.309 ICQ13B2.tmp 29.05.2006 18:09 3.208 ICQ13B1.tmp 29.05.2006 18:08 896 TWAIN.LOG 29.05.2006 18:08 3 Twain001.Mtx 29.05.2006 18:08 156 Twunk001.MTX 29.05.2006 18:08 9.265 ICQ13AB.tmp 29.05.2006 18:08 3.553 ICQ13AA.tmp 27.05.2006 18:09 16.384 ~DFE005.tmp 27.05.2006 18:09 16.384 ~DF6200.tmp edit (Sabina) Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D0DC-C51C Verzeichnis von C:\WINDOWS 31.05.2006 23:20 0 0.log 31.05.2006 23:20 159 wiadebug.log 31.05.2006 23:20 50 wiaservc.log 31.05.2006 23:20 2.048 bootstat.dat 31.05.2006 23:19 32.540 SchedLgU.Txt 31.05.2006 23:19 127.158 WindowsUpdate.log 31.05.2006 22:51 1.206.099 setupapi.log 31.05.2006 17:41 2.072 ModemLog_Standard Modem over Bluetooth link #3.txt 30.05.2006 21:43 0 keyboard1.dat 30.05.2006 21:43 0 newname.dat 29.05.2006 18:14 116 NeroDigital.ini 21.05.2006 17:49 2.072 ModemLog_Standard Modem over Bluetooth link #2.txt 12.05.2006 13:40 620 win.ini 05.05.2006 11:55 5.045 mozver.dat 24.04.2006 17:59 227 system.ini 24.04.2006 17:48 192 winamp.ini 07.04.2006 15:12 19.709 wmsetup.log 24.03.2006 16:18 640 ODBC.INI 14.02.2006 23:44 107.134 UninstallFirefox.exe Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D0DC-C51C Verzeichnis von C:\ 31.05.2006 23:26 0 sys.txt 31.05.2006 23:25 5.942 system.txt 31.05.2006 23:23 17.637 systemtemp.txt 31.05.2006 23:21 105.417 system32.txt 31.05.2006 23:20 352.321.536 pagefile.sys 24.04.2006 17:59 211 boot.ini 02.07.2005 14:04 47.564 NTDETECT.COM 02.07.2005 00:36 250.032 ntldr 02.07.2005 00:17 0 IO.SYS 02.07.2005 00:17 0 MSDOS.SYS 02.07.2005 00:17 0 AUTOEXEC.BAT 02.07.2005 00:17 0 CONFIG.SYS 12 Datei(en) 352.748.339 Bytes 0 Verzeichnis(se), 18.418.176.000 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D0DC-C51C Verzeichnis von c:\WINDOWS\$NtServicePackUninstall$ 23.08.2001 14:00 21.504 userinit.exe 1 Datei(en) 21.504 Bytes Verzeichnis von c:\WINDOWS\mui\FALLBACK\0407 18.08.2001 14:40 4.608 userinit.exe.mui 1 Datei(en) 4.608 Bytes Verzeichnis von c:\WINDOWS\Prefetch 31.05.2006 22:51 7.956 USERINIT.EXE-350405DA.pf 1 Datei(en) 7.956 Bytes Verzeichnis von c:\WINDOWS\ServicePackFiles\i386 04.08.2004 09:56 24.576 userinit.exe 1 Datei(en) 24.576 Bytes Verzeichnis von c:\WINDOWS\system32 04.08.2004 09:56 24.576 userinit.exe 1 Datei(en) 24.576 Bytes Verzeichnis von c:\WINDOWS\system32\?icrosoft 31.05.2006 22:50 72.704 userinit.exe 1 Datei(en) 72.704 Bytes Anzahl der angezeigten Dateien: 6 Datei(en) 155.924 Bytes 0 Verzeichnis(se), 18.418.155.520 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D0DC-C51C Verzeichnis von c:\WINDOWS\$NtServicePackUninstall$ 23.08.2001 14:00 21.504 userinit.exe 1 Datei(en) 21.504 Bytes Verzeichnis von c:\WINDOWS\mui\FALLBACK\0407 18.08.2001 14:40 4.608 userinit.exe.mui 1 Datei(en) 4.608 Bytes Verzeichnis von c:\WINDOWS\Prefetch 31.05.2006 22:51 7.956 USERINIT.EXE-350405DA.pf 1 Datei(en) 7.956 Bytes Verzeichnis von c:\WINDOWS\ServicePackFiles\i386 04.08.2004 09:56 24.576 userinit.exe 1 Datei(en) 24.576 Bytes Verzeichnis von c:\WINDOWS\system32 04.08.2004 09:56 24.576 userinit.exe 1 Datei(en) 24.576 Bytes Verzeichnis von c:\WINDOWS\system32\?icrosoft 31.05.2006 22:50 72.704 userinit.exe 1 Datei(en) 72.704 Bytes Anzahl der angezeigten Dateien: 6 Datei(en) 155.924 Bytes 0 Verzeichnis(se), 18.418.155.520 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D0DC-C51C Verzeichnis von c:\Program Files\Common Files 31.05.2006 00:55 342.636 mc-110-12-0000140.exe 1 Datei(en) 342.636 Bytes Verzeichnis von c:\WINDOWS\Prefetch 30.05.2006 23:15 30.040 MC-110-12-0000140.EXE-1C8637E6.pf 31.05.2006 00:55 23.288 MC-110-12-0000140.EXE-31C76F0E.pf 2 Datei(en) 53.328 Bytes Anzahl der angezeigten Dateien: 3 Datei(en) 395.964 Bytes 0 Verzeichnis(se), 18.418.147.328 Bytes frei Dieser Beitrag wurde am 31.05.2006 um 23:31 Uhr von masterhs11c editiert.
|
|
|
||
31.05.2006, 23:44
Ehrenmitglied
Beiträge: 29434 |
#4
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html PC neustarten dann poste noch einmal: Verzeichnis von C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.05.2006, 23:52
...neu hier
Themenstarter Beiträge: 8 |
#5
so sorry dachte einstellungen hätte ich übernommen!?
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D0DC-C51C Verzeichnis von C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp 31.05.2006 23:50 54.272 ginstall.dll 31.05.2006 23:30 77.286 jusched.log 31.05.2006 22:51 49.152 ~DFDE7B.tmp 31.05.2006 22:50 72.704 !update.exe 31.05.2006 21:41 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}22016.html 31.05.2006 21:39 983 21.09.2003 09:17 1.441.849 @micA Setup.exe 20.12.2002 20:41 5.216.037 Platform4_Player_for_PC_2_0_RC1.exe 350 Datei(en) 47.202.723 Bytes 0 Verzeichnis(se), 18.417.266.688 Bytes frei edit |
|
|
||
31.05.2006, 23:59
Ehrenmitglied
Beiträge: 29434 |
#6
masterhs11c
die temp-Dateien sind alle noch da...wie soll man da reinigen ??? ------------------------------------------------------------------------ Start > Ausfuehren --> reinschreiben --> cmd.exe und ok. kopiere rein und poste alles, was im Texteditor erscheint dir /s /a "c:\w?nlogon*.*" > c:\find.txt & start notepad c:\find.txt dir /s /a "c:\??stem*.*" > c:\find.txt & start notepad c:\find.txt ------------------------------------------------------------------------ 1. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das Log vom Avenger ** öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O2 - BHO: (no name) - {E4B176DA-BD1C-929D-3AF0-E47B438828CE} - C:\WINDOWS\system32\ivpqpn.dllPC neustarten ** Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) ** Sophos aktuellste Virendefinitionsdateien 1.) IDEs für SAV Version Mai 2006 (4.04) Aktuelle Web-Version Aktuelle CD und Web-Version Download Zip Download Exe 121 http://www.sophos.de/downloads/ide/ 2.) http://www.sophos.de/tools/sav32sfx.exe 3.) gehe in C:\ 4.) klicke SAV32CLI ** Versteckte- und Systemdateien sichtbar machen http://virus-protect.org/invisible.html ** suche die Dateien nach Datum und Uhrzeit/Groesse, sonst findest du sie nicht. Nicht das falsche loeschen !!!!!!!!! Verzeichnis von c:\WINDOWS\system32\?icrosoft 31.05.2006 22:50 72.704 userinit.exe 1 Datei(en) 72.704 Bytes c:\WINDOWS\system32\?icrosoft\userinit.exe--> loeschen ----------------------------------------------------------------- schliesse alles (Proramme, Internet....) ** Start > Programme > Zubehör > Systemprogramme > Datenträgerbereinigung #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k ** scanne und poste den scanreport http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.06.2006, 00:13
...neu hier
Themenstarter Beiträge: 8 |
#7
hi, habe nun die datei löschen können,würde auch gerne den log vom ewido posten, der ist aber zu lang, er hat insgesamt ca 4500 dateien gelöscht, waren alles irgendwelche archive mit fakes von bekannten spielen und programmen.
checksumme ist 40bbf40 hoffe das hilft dir weiter ansonsten sag mir nochmal was du brauchst. achja, auf dem betroffenen rechner habe ich nun nur noch eine eingeschränkte verbindung zum wlan,heißt komme nicht mehr ins internet, woran könnte das nun liegen? Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\erpkldcw ******************* Script file located at: \??\C:\tcnfhfoi.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\wnsintsv.exe deleted successfully. File C:\WINDOWS\system32\netdde.dll deleted successfully. File C:\WINDOWS\system32\imon1.dat deleted successfully. File C:\WINDOWS\system32\setup.exe.tmp deleted successfully. File C:\WINDOWS\system32\1149019734.(null) deleted successfully. File C:\WINDOWS\system32\mapisvc.inf deleted successfully. File C:\WINDOWS\system32\ivpqpn.dll not found! Deletion of file C:\WINDOWS\system32\ivpqpn.dll failed! Could not process line: C:\WINDOWS\system32\ivpqpn.dll Status: 0xc0000034 File C:\WINDOWS\system32\imon.dll deleted successfully. File C:\WINDOWS\system32\nms32.dll deleted successfully. File C:\WINDOWS\keyboard1.dat deleted successfully. File C:\WINDOWS\newname.dat deleted successfully. File c:\Program Files\Common Files\mc-110-12-0000140.exe deleted successfully. File c:\WINDOWS\Prefetch\MC-110-12-0000140.EXE-1C8637E6.pf deleted successfully. File c:\WINDOWS\Prefetch\MC-110-12-0000140.EXE-31C76F0E.pf deleted successfully. File C:\Documents and Settings\Administrator\Local Settings\Temp\!update.exe deleted successfully. Completed script processing. ******************* Finished! Terminate. hier nochmal mein neuester hijack log: Logfile of HijackThis v1.99.1 Scan saved at 01:48:35, on 01.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\Downloads\Software\System\wurmfinder.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nero.com/en/sp_file_main.php O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O20 - AppInit_DLLs: C:\WINDOWS\system32\netdde.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe O23 - Service: NetOp Helper ver. 7.60 (2003146) (NetOp Host for NT Service) - Danware Data A/S - C:\Program Files\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe Dieser Beitrag wurde am 01.06.2006 um 02:15 Uhr von masterhs11c editiert.
|
|
|
||
01.06.2006, 10:05
Ehrenmitglied
Beiträge: 29434 |
#8
masterhs11c
du kommst nicht mehr ins net ??? erstelle eine neue Internetverbindung. ich hoffe, du hast beim loeschen vom Purityscan nicht das falsche geloescht.............. ------------------------------------------------------------------ 1. Fixe mit dem HijackThis: Zitat O20 - AppInit_DLLs: C:\WINDOWS\system32\netdde.dllneustarten C:\WINDOWS\system32\netdde.dll -> loeschen -------------------------------------------------------------------- 2. ich will sehen, ob der Purityscan geloescht ist. Start > Ausfuehren --> reinschreiben --> cmd.exe und ok. kopiere rein und poste alles, was im Texteditor erscheint dir /s /a "c:\w?nlogon*.*" > c:\find.txt & start notepad c:\find.txt dir /s /a "c:\??stem*.*" > c:\find.txt & start notepad c:\find.txt dir /s /a "c:\userinit*.*" > c:\find.txt & start notepad c:\find.txt ----------------------------------------------------------------------------- 3. du kannst den report vom ewido in eine txt-Datei packen und als Anhang posten (siehe unten) 4. scanne mit kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
kenne mich leider wenig aus mit würmer etc, ist auch mein erster.
Also heute nachmittag sprang mein antivir (nod32)auf :
win32/Trojandropper.VB.NAI
wenn ich den nun löschen will sagt er mir: amon kann infektion nicht säubern, Ereignis beim Versuch eine neue datei zu erstellen.
habe dann gegoogelt, bin zum prog hijack gekommen, habe meine liste online auswerten lassen und schädliche sachen gelöscht, nun ist sie hoffentlich wieder sauber, hier die liste:
Logfile of HijackThis v1.99.1
Scan saved at 21:50:04, on 31.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\KillBox.exe
C:\Downloads\Software\System\stng260.exe
C:\Downloads\Software\System\wurmfinder.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nero.com/en/sp_file_main.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {E4B176DA-BD1C-929D-3AF0-E47B438828CE} - C:\WINDOWS\system32\ivpqpn.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [Shutdown] C:\DOCUME~1\ADMINI~1\Desktop\shutdown.exe /minimiert
O4 - HKCU\..\Run: [Lsra] "C:\WINDOWS\system32\ICROSO~1\userinit.exe" -vt yazb
O4 - HKCU\..\Run: [Ufxsrvrl] C:\WINDOWS\??stem\w?nlogon.exe
O4 - HKCU\..\Run: [DNS] C:\Program Files\Common Files\mc-110-12-0000140.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: NetOp Helper ver. 7.60 (2003146) (NetOp Host for NT Service) - Danware Data A/S - C:\Program Files\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
was mir jetzt noch einfällt, konnte zwischenzeitlich mein task manager nicht mehr aufrufen.
hoffe ihr könnt mir helfen, jage jetzt schon den 8 scanner durch aber keiner kann helfen.
danke im vorraus
habe den scanner avast4 beim booten durchlaufen lassen, hat auch viele infizierte dateien gelöscht, aber als ich neu gestartet habe kommt nod32 wieder mit der gleichen meldung