WinAntivirus Pro 2006 Trojaner erzeugt regelmässig Popup Fenster

#76 Witala

0.
ich brauche unbedingt das log von combofix (auch ohne Datentraegerbereinigung)

1.
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\Software\ErrorSafe
HKEY_CURRENT_USER\Software\ErrorSafe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Files to delete:

C:\WINDOWS\system32\0106.exe
C:\Programme\user32.exe
C:\WINDOWS\system32\r26ulcj91fo.dll
C:\WINDOWS\system32\kt0ul7d91.dll
C:\WINDOWS\system32\w00d3b9b.dll
C:\WINDOWS\system32\ptjace27.sys
C:\WINDOWS\system32\ptjace27.dll
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\user32.exe
C:\WINDOWS\dr.exe
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\vorbisfile.dll
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\vorbis.dll
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\ogg.dll
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\bitcoll.dll
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\bit2.exe
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\tsupdate_4_0_4_1_b3.exe
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\ErrorSafeScannerSetup.exe
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\drm_dialogs.dll
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\A.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\1E2.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\E.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\26.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\C.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\3B.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\750.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\8.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\1A8.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\4.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\6.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\1F.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\9.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\~DF30C0.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\3.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\7.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\1D.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\3A.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\25.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\D.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\5.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\1E1.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\1AE.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\1A7.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\15A.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\32.tmp
C:\Programme\ErrorSafelock.dat
C:\Programme\ErrorSafe\esPCheck.dll
C:\Windows\System32\drivers\erssdd.sys

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
3.
poste das log vom avenger, was erscheint

**
4.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [0123456789012345678901234567890123456789012345678901234567890-
123456789012345678901234567890123456789012345678901234567890123
456789012345678901234567890123456789012345678901234567890123456789012345678
90123456789012345678901234567890123456789012345678912345678] C:\Programme\user32.exe

O4 - HKLM\..\Run: [ptjace27] RUNDLL32.EXE w00d3b9b.dll,n 002ace250000000a00d3b9b

O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] C:\WINDOWS\system32\0106.exe

O20 - Winlogon Notify: Syncmgr - C:\WINDOWS\system32\j02q0af5ed2.dll

PC neustarten

5.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files\" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#77 also der avenger hat irgendeinen fatalerror gehabt(nachdem ich auf die grüne ampel gedrückt habe) und dann ist das prog einfach aus gegangen.

und die textdatei die raus kommt nachdem ich auf die listen.bat klicke ist so groß dass man sie hier gar nicht reinkopieren kann

#78 Witala

1.
kopiere solange den Text in den Avenger, bis er funktioniert, poste dann nach neustart den report

2.
poste die textdatei als Anhang (siehe unten)
__________
MfG Sabina

rund um die PC-Sicherheit

#79 bekomme beim anvenger immer nur diese fehlermeldung

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 0
Error logged to errorlog.txt. Aborting now!

textdatei hab ich angehängt

#80 kopiere das in den Avenger:

Zitat

Files to delete:

C:\WINDOWS\system32\0106.exe
C:\Programme\user32.exe
C:\WINDOWS\system32\r26ulcj91fo.dll
C:\WINDOWS\system32\kt0ul7d91.dll
C:\WINDOWS\system32\w00d3b9b.dll
C:\WINDOWS\system32\ptjace27.sys
C:\WINDOWS\system32\ptjace27.dll
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\user32.exe
C:\WINDOWS\dr.exe
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\vorbisfile.dll
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\vorbis.dll
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\ogg.dll
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\bitcoll.dll
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\bit2.exe
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\tsupdate_4_0_4_1_b3.exe
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\ErrorSafeScannerSetup.exe
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\drm_dialogs.dll
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\A.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\1E2.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\E.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\26.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\C.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\3B.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\750.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\8.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\1A8.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\4.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\6.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\1F.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\9.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\~DF30C0.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\3.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\7.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\1D.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\3A.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\25.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\D.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\5.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\1E1.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\1AE.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\1A7.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\15A.tmp
C:\Dokumente und Einstellungen\Frauen4rzt\Lokale Einstellungen\Temp\32.tmp
C:\Programme\ErrorSafelock.dat
C:\Programme\ErrorSafe\esPCheck.dll
C:\Windows\System32\drivers\erssdd.sys

und berichte, also: poste den report nach neustart, versuche es mehrere male
__________
MfG Sabina

rund um die PC-Sicherheit