win32/Trojandropper.VB.NAI < wie bekomme ich ihn weg?

#0
31.05.2006, 21:46
...neu hier

Beiträge: 8
#1 Hallo erstmal bin ja neu ;-),

kenne mich leider wenig aus mit würmer etc, ist auch mein erster.
Also heute nachmittag sprang mein antivir (nod32)auf :

win32/Trojandropper.VB.NAI

wenn ich den nun löschen will sagt er mir: amon kann infektion nicht säubern, Ereignis beim Versuch eine neue datei zu erstellen.

habe dann gegoogelt, bin zum prog hijack gekommen, habe meine liste online auswerten lassen und schädliche sachen gelöscht, nun ist sie hoffentlich wieder sauber, hier die liste:

Logfile of HijackThis v1.99.1
Scan saved at 21:50:04, on 31.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\KillBox.exe
C:\Downloads\Software\System\stng260.exe
C:\Downloads\Software\System\wurmfinder.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nero.com/en/sp_file_main.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {E4B176DA-BD1C-929D-3AF0-E47B438828CE} - C:\WINDOWS\system32\ivpqpn.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [Shutdown] C:\DOCUME~1\ADMINI~1\Desktop\shutdown.exe /minimiert
O4 - HKCU\..\Run: [Lsra] "C:\WINDOWS\system32\ICROSO~1\userinit.exe" -vt yazb
O4 - HKCU\..\Run: [Ufxsrvrl] C:\WINDOWS\??stem\w?nlogon.exe
O4 - HKCU\..\Run: [DNS] C:\Program Files\Common Files\mc-110-12-0000140.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: NetOp Helper ver. 7.60 (2003146) (NetOp Host for NT Service) - Danware Data A/S - C:\Program Files\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe

was mir jetzt noch einfällt, konnte zwischenzeitlich mein task manager nicht mehr aufrufen.

hoffe ihr könnt mir helfen, jage jetzt schon den 8 scanner durch aber keiner kann helfen.
danke im vorraus

habe den scanner avast4 beim booten durchlaufen lassen, hat auch viele infizierte dateien gelöscht, aber als ich neu gestartet habe kommt nod32 wieder mit der gleichen meldung
Dieser Beitrag wurde am 31.05.2006 um 22:59 Uhr von masterhs11c editiert.
Seitenanfang Seitenende
31.05.2006, 23:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 da ist neben einem Purityscan, noch ein Backdoor und anderes "Ungeziefer " drauf..........

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\userinit*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\w?nlogon*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\mc-110-12-0000140*.*" > c:\find.txt & start notepad c:\find.txt




«
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.05.2006, 23:25
...neu hier

Themenstarter

Beiträge: 8
#3 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D0DC-C51C

Verzeichnis von C:\WINDOWS\system32

31.05.2006 22:51 2 wnsintsv.exe
31.05.2006 22:51 81.920 netdde.dll

31.05.2006 21:57 2.626 CONFIG.NT
31.05.2006 18:05 47 imon1.dat
31.05.2006 11:02 624.640 aswBoot.exe
31.05.2006 10:54 90.112 AVASTSS.scr
30.05.2006 23:15 36.864 setup.exe.tmp
30.05.2006 22:08 45 1149019734.(null)
30.05.2006 21:24 442 mapisvc.inf
30.05.2006 21:24 245.760 imon.dll
30.05.2006 21:24 114.688 nms32.dll

30.05.2006 21:23 2.206 wpa.dbl
03.05.2006 21:26 5.818.784 MRT.exe
13.04.2006 17:07 242.328 FNTCACHE.DAT
01.04.2006 12:21 42.222 perfc009.dat
01.04.2006 12:21 317.326 perfh009.dat
01.04.2006 12:21 364.448 PerfStringBackup.INI
08.03.2006 17:12 49.152 inetwh32.dll
08.03.2006 17:12 1.044.480 roboex32.dll
02.02.2006 15:09 53.248 unrar.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D0DC-C51C

Verzeichnis von C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp

31.05.2006 23:06 77.080 jusched.log
31.05.2006 22:51 49.152 ~DFDE7B.tmp
31.05.2006 22:50 72.704 !update.exe
31.05.2006 21:41 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}22016.html
31.05.2006 21:39 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}22250.html
31.05.2006 18:06 16.384 ~DFDD01.tmp
31.05.2006 18:06 16.384 ~DFC741.tmp
31.05.2006 18:05 14.010 temp.frA806
31.05.2006 16:32 0 EPSLog.txt
31.05.2006 16:32 499.106 ~K2006b.jpg
31.05.2006 16:22 657.453 ~K2006a.jpg
31.05.2006 16:22 587.331 ~K20069.jpg
31.05.2006 16:21 499.106 ~K20068.jpg
31.05.2006 16:21 510.311 ~K20067.jpg
31.05.2006 14:39 568.305 ~K20066.jpg
31.05.2006 14:35 474.955 ~K20065.jpg
31.05.2006 14:30 489.334 ~K20064.jpg
31.05.2006 14:29 0 LaunchBrowser.html
31.05.2006 00:29 409 NDrE9.tmp.html
31.05.2006 00:18 409 NDrB1.tmp.html
30.05.2006 23:15 65 id.id

30.05.2006 23:15 16.384 ~DF3C90.tmp
30.05.2006 23:15 16.384 ~DF1698.tmp
30.05.2006 23:14 16.384 ~DF7E5B.tmp
30.05.2006 23:12 10.165 temp.fr8D5A
30.05.2006 22:59 16.384 ~DF8ED6.tmp
30.05.2006 22:59 16.384 ~DF5FB8.tmp
30.05.2006 22:33 45 ACSE.tmp
30.05.2006 22:17 34 ACSD.tmp
30.05.2006 22:17 45 ACSC.tmp
30.05.2006 22:06 16.384 ~DF7746.tmp
30.05.2006 21:45 16.384 ~DF790E.tmp
30.05.2006 21:43 16.384 Perflib_Perfdata_5b4.dat
30.05.2006 21:43 820.760 IH6A.tmp
30.05.2006 21:42 16.384 ~DFBAAB.tmp
30.05.2006 21:36 1.455 Microsoft Office 2003 Setup(0004).txt
30.05.2006 21:31 1.455 Microsoft Office 2003 Setup(0003).txt
30.05.2006 21:31 1.455 Microsoft Office 2003 Setup(0002).txt
30.05.2006 21:29 16.384 ~DF59D9.tmp
30.05.2006 21:26 16.384 ~DF544D.tmp
30.05.2006 21:23 1.455 Microsoft Office 2003 Setup(0001).txt
30.05.2006 21:23 16.384 ~DF11FA.tmp
30.05.2006 21:23 16.384 ~DFC25.tmp
30.05.2006 16:16 147.456 ~WRF3646.tmp
29.05.2006 18:09 8.309 ICQ13B2.tmp
29.05.2006 18:09 3.208 ICQ13B1.tmp
29.05.2006 18:08 896 TWAIN.LOG
29.05.2006 18:08 3 Twain001.Mtx
29.05.2006 18:08 156 Twunk001.MTX
29.05.2006 18:08 9.265 ICQ13AB.tmp
29.05.2006 18:08 3.553 ICQ13AA.tmp
27.05.2006 18:09 16.384 ~DFE005.tmp
27.05.2006 18:09 16.384 ~DF6200.tmp

edit (Sabina)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D0DC-C51C

Verzeichnis von C:\WINDOWS

31.05.2006 23:20 0 0.log
31.05.2006 23:20 159 wiadebug.log
31.05.2006 23:20 50 wiaservc.log
31.05.2006 23:20 2.048 bootstat.dat
31.05.2006 23:19 32.540 SchedLgU.Txt
31.05.2006 23:19 127.158 WindowsUpdate.log
31.05.2006 22:51 1.206.099 setupapi.log
31.05.2006 17:41 2.072 ModemLog_Standard Modem over Bluetooth link #3.txt
30.05.2006 21:43 0 keyboard1.dat
30.05.2006 21:43 0 newname.dat

29.05.2006 18:14 116 NeroDigital.ini
21.05.2006 17:49 2.072 ModemLog_Standard Modem over Bluetooth link #2.txt
12.05.2006 13:40 620 win.ini
05.05.2006 11:55 5.045 mozver.dat
24.04.2006 17:59 227 system.ini
24.04.2006 17:48 192 winamp.ini
07.04.2006 15:12 19.709 wmsetup.log
24.03.2006 16:18 640 ODBC.INI
14.02.2006 23:44 107.134 UninstallFirefox.exe



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D0DC-C51C

Verzeichnis von C:\

31.05.2006 23:26 0 sys.txt
31.05.2006 23:25 5.942 system.txt
31.05.2006 23:23 17.637 systemtemp.txt
31.05.2006 23:21 105.417 system32.txt
31.05.2006 23:20 352.321.536 pagefile.sys
24.04.2006 17:59 211 boot.ini
02.07.2005 14:04 47.564 NTDETECT.COM
02.07.2005 00:36 250.032 ntldr
02.07.2005 00:17 0 IO.SYS
02.07.2005 00:17 0 MSDOS.SYS
02.07.2005 00:17 0 AUTOEXEC.BAT
02.07.2005 00:17 0 CONFIG.SYS
12 Datei(en) 352.748.339 Bytes
0 Verzeichnis(se), 18.418.176.000 Bytes frei




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D0DC-C51C

Verzeichnis von c:\WINDOWS\$NtServicePackUninstall$

23.08.2001 14:00 21.504 userinit.exe
1 Datei(en) 21.504 Bytes

Verzeichnis von c:\WINDOWS\mui\FALLBACK\0407

18.08.2001 14:40 4.608 userinit.exe.mui
1 Datei(en) 4.608 Bytes

Verzeichnis von c:\WINDOWS\Prefetch

31.05.2006 22:51 7.956 USERINIT.EXE-350405DA.pf
1 Datei(en) 7.956 Bytes


Verzeichnis von c:\WINDOWS\ServicePackFiles\i386

04.08.2004 09:56 24.576 userinit.exe
1 Datei(en) 24.576 Bytes

Verzeichnis von c:\WINDOWS\system32

04.08.2004 09:56 24.576 userinit.exe
1 Datei(en) 24.576 Bytes

Verzeichnis von c:\WINDOWS\system32\?icrosoft

31.05.2006 22:50 72.704 userinit.exe
1 Datei(en) 72.704 Bytes


Anzahl der angezeigten Dateien:
6 Datei(en) 155.924 Bytes
0 Verzeichnis(se), 18.418.155.520 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D0DC-C51C

Verzeichnis von c:\WINDOWS\$NtServicePackUninstall$

23.08.2001 14:00 21.504 userinit.exe
1 Datei(en) 21.504 Bytes

Verzeichnis von c:\WINDOWS\mui\FALLBACK\0407

18.08.2001 14:40 4.608 userinit.exe.mui
1 Datei(en) 4.608 Bytes

Verzeichnis von c:\WINDOWS\Prefetch

31.05.2006 22:51 7.956 USERINIT.EXE-350405DA.pf
1 Datei(en) 7.956 Bytes

Verzeichnis von c:\WINDOWS\ServicePackFiles\i386

04.08.2004 09:56 24.576 userinit.exe
1 Datei(en) 24.576 Bytes

Verzeichnis von c:\WINDOWS\system32

04.08.2004 09:56 24.576 userinit.exe
1 Datei(en) 24.576 Bytes

Verzeichnis von c:\WINDOWS\system32\?icrosoft

31.05.2006 22:50 72.704 userinit.exe
1 Datei(en) 72.704 Bytes


Anzahl der angezeigten Dateien:
6 Datei(en) 155.924 Bytes
0 Verzeichnis(se), 18.418.155.520 Bytes frei





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D0DC-C51C

Verzeichnis von c:\Program Files\Common Files

31.05.2006 00:55 342.636 mc-110-12-0000140.exe
1 Datei(en) 342.636 Bytes

Verzeichnis von c:\WINDOWS\Prefetch

30.05.2006 23:15 30.040 MC-110-12-0000140.EXE-1C8637E6.pf
31.05.2006 00:55 23.288 MC-110-12-0000140.EXE-31C76F0E.pf
2 Datei(en) 53.328 Bytes

Anzahl der angezeigten Dateien:
3 Datei(en) 395.964 Bytes
0 Verzeichnis(se), 18.418.147.328 Bytes frei
Dieser Beitrag wurde am 31.05.2006 um 23:31 Uhr von masterhs11c editiert.
Seitenanfang Seitenende
31.05.2006, 23:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

PC neustarten


dann poste noch einmal: Verzeichnis von C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.05.2006, 23:52
...neu hier

Themenstarter

Beiträge: 8
#5 so sorry dachte einstellungen hätte ich übernommen!?


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D0DC-C51C

Verzeichnis von C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp

31.05.2006 23:50 54.272 ginstall.dll
31.05.2006 23:30 77.286 jusched.log
31.05.2006 22:51 49.152 ~DFDE7B.tmp
31.05.2006 22:50 72.704 !update.exe
31.05.2006 21:41 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}22016.html
31.05.2006 21:39 983
21.09.2003 09:17 1.441.849 @micA Setup.exe
20.12.2002 20:41 5.216.037 Platform4_Player_for_PC_2_0_RC1.exe
350 Datei(en) 47.202.723 Bytes
0 Verzeichnis(se), 18.417.266.688 Bytes frei

edit
Seitenanfang Seitenende
31.05.2006, 23:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 masterhs11c

die temp-Dateien sind alle noch da...wie soll man da reinigen ???
------------------------------------------------------------------------

Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\w?nlogon*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\??stem*.*" > c:\find.txt & start notepad c:\find.txt

------------------------------------------------------------------------

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\system32\wnsintsv.exe
C:\WINDOWS\system32\netdde.dll
C:\WINDOWS\system32\imon1.dat
C:\WINDOWS\system32\setup.exe.tmp
C:\WINDOWS\system32\1149019734.(null)
C:\WINDOWS\system32\mapisvc.inf
C:\WINDOWS\system32\ivpqpn.dll
C:\WINDOWS\system32\imon.dll
C:\WINDOWS\system32\nms32.dll
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\newname.dat
c:\Program Files\Common Files\mc-110-12-0000140.exe
c:\WINDOWS\Prefetch\MC-110-12-0000140.EXE-1C8637E6.pf
c:\WINDOWS\Prefetch\MC-110-12-0000140.EXE-31C76F0E.pf
C:\Documents and Settings\Administrator\Local Settings\Temp\!update.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das Log vom Avenger

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {E4B176DA-BD1C-929D-3AF0-E47B438828CE} - C:\WINDOWS\system32\ivpqpn.dll
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [Lsra] "C:\WINDOWS\system32\ICROSO~1\userinit.exe" -vt yazb
O4 - HKCU\..\Run: [Ufxsrvrl] C:\WINDOWS\??stem\w?nlogon.exe
O4 - HKCU\..\Run: [DNS] C:\Program Files\Common Files\mc-110-12-0000140.exe
PC neustarten

**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)

**
Sophos
aktuellste Virendefinitionsdateien
1.) IDEs für SAV Version Mai 2006 (4.04) Aktuelle Web-Version
Aktuelle CD und Web-Version Download Zip Download Exe 121
http://www.sophos.de/downloads/ide/
2.) http://www.sophos.de/tools/sav32sfx.exe
3.) gehe in C:\
4.) klicke SAV32CLI

**
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

**
suche die Dateien nach Datum und Uhrzeit/Groesse, sonst findest du sie nicht.
Nicht das falsche loeschen !!!!!!!!!

Verzeichnis von c:\WINDOWS\system32\?icrosoft

31.05.2006 22:50 72.704 userinit.exe
1 Datei(en) 72.704 Bytes

c:\WINDOWS\system32\?icrosoft\userinit.exe--> loeschen

-----------------------------------------------------------------

schliesse alles
(Proramme, Internet....)
**
Start > Programme > Zubehör > Systemprogramme >
Datenträgerbereinigung
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

**
scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.06.2006, 00:13
...neu hier

Themenstarter

Beiträge: 8
#7 hi, habe nun die datei löschen können,würde auch gerne den log vom ewido posten, der ist aber zu lang, er hat insgesamt ca 4500 dateien gelöscht, waren alles irgendwelche archive mit fakes von bekannten spielen und programmen.

checksumme ist 40bbf40

hoffe das hilft dir weiter ansonsten sag mir nochmal was du brauchst.
achja, auf dem betroffenen rechner habe ich nun nur noch eine eingeschränkte verbindung zum wlan,heißt komme nicht mehr ins internet, woran könnte das nun liegen?


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\erpkldcw

*******************

Script file located at: \??\C:\tcnfhfoi.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\wnsintsv.exe deleted successfully.
File C:\WINDOWS\system32\netdde.dll deleted successfully.
File C:\WINDOWS\system32\imon1.dat deleted successfully.
File C:\WINDOWS\system32\setup.exe.tmp deleted successfully.
File C:\WINDOWS\system32\1149019734.(null) deleted successfully.
File C:\WINDOWS\system32\mapisvc.inf deleted successfully.


File C:\WINDOWS\system32\ivpqpn.dll not found!
Deletion of file C:\WINDOWS\system32\ivpqpn.dll failed!

Could not process line:
C:\WINDOWS\system32\ivpqpn.dll
Status: 0xc0000034

File C:\WINDOWS\system32\imon.dll deleted successfully.
File C:\WINDOWS\system32\nms32.dll deleted successfully.
File C:\WINDOWS\keyboard1.dat deleted successfully.
File C:\WINDOWS\newname.dat deleted successfully.
File c:\Program Files\Common Files\mc-110-12-0000140.exe deleted successfully.
File c:\WINDOWS\Prefetch\MC-110-12-0000140.EXE-1C8637E6.pf deleted successfully.
File c:\WINDOWS\Prefetch\MC-110-12-0000140.EXE-31C76F0E.pf deleted successfully.
File C:\Documents and Settings\Administrator\Local Settings\Temp\!update.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.





hier nochmal mein neuester hijack log:

Logfile of HijackThis v1.99.1
Scan saved at 01:48:35, on 01.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Downloads\Software\System\wurmfinder.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nero.com/en/sp_file_main.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\netdde.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: NetOp Helper ver. 7.60 (2003146) (NetOp Host for NT Service) - Danware Data A/S - C:\Program Files\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
Dieser Beitrag wurde am 01.06.2006 um 02:15 Uhr von masterhs11c editiert.
Seitenanfang Seitenende
01.06.2006, 10:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 masterhs11c

du kommst nicht mehr ins net ???
erstelle eine neue Internetverbindung.
ich hoffe, du hast beim loeschen vom Purityscan nicht das falsche geloescht..............

------------------------------------------------------------------
1.
Fixe mit dem HijackThis:

Zitat

O20 - AppInit_DLLs: C:\WINDOWS\system32\netdde.dll
neustarten

C:\WINDOWS\system32\netdde.dll -> loeschen

--------------------------------------------------------------------

2.
ich will sehen, ob der Purityscan geloescht ist.

Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\w?nlogon*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\??stem*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\userinit*.*" > c:\find.txt & start notepad c:\find.txt

-----------------------------------------------------------------------------

3.
du kannst den report vom ewido in eine txt-Datei packen und als Anhang posten (siehe unten)

4.
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende