Win AntiVirus Pro 2006 - Popups + wiederkehrender Trojan.Dropper |
||
---|---|---|
#0
| ||
11.11.2006, 12:33
...neu hier
Beiträge: 9 |
||
|
||
11.11.2006, 16:17
Member
Beiträge: 3716 |
#2
hallo, erstell mal das hijackthis logfile im normalen modus!
lad dir weiterhin die filelist.zip runter: http://members.linzag.net/680262/filelist.zip bitte auf dem desktop entpacken. dann die filelist.bat anklicken und von jedem monat die letzten 30 tage kopieren. danach das combofix ausführen und das log ebenfalls hier her: www.virus-protect.org/artikel/tools/combofix.html - 10k - |
|
|
||
11.11.2006, 19:44
...neu hier
Themenstarter Beiträge: 9 |
#3
Hallo virenfinder,
Danke für die Antwort. Habe mir die filelist.zip nun zum ersten mal runtergeladen un die filelist.bat ausgeführt. Jetzt hab ich eine "filelist.txt" vor mir und frage mich wo ich die letzten 30 Tage von jedem Monat finde. Immerhin seh ich ort in der Liste die Monate von den Jahren 1998. Also von welchem Jahr? ich schätze ja logischerweise 2006, allerdings gibts davon nicht immer 30 Tage jedes Monats und es ist auch nicht jeder Monat dabei. gruß, raljohns |
|
|
||
11.11.2006, 20:10
Member
Beiträge: 3716 |
#4
hallo, die müssten eigendlich geordnet nach datum sein... bitte von jedem verzeichniss die letzten 30 kopieren. und das combofix net vergessen
|
|
|
||
11.11.2006, 21:43
...neu hier
Themenstarter Beiträge: 9 |
#5
Zitat Logfile of HijackThis v1.99.1~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Zitat FILELIST.TXT |
|
|
||
11.11.2006, 21:49
Member
Beiträge: 3716 |
#6
nun bitte combofix posten.
|
|
|
||
11.11.2006, 21:53
...neu hier
Themenstarter Beiträge: 9 |
#7
Zitat Margarita - 06-11-11 21:48:43,37 Service Pack 2Bitte, und Danke! |
|
|
||
12.11.2006, 10:49
Member
Beiträge: 3716 |
#8
hallo, setze bitte counterspy ein:
http://virus-protect.org/counterspy.html scanne so lang im abgesicherten modus, bis nichts mehr gefunden wurde. kopiere jeden report hier her! |
|
|
||
12.11.2006, 11:34
Ehrenmitglied
Beiträge: 29434 |
#9
Raljohns
bitte nicht den Counterspy anwenden 1. Vundofix anwenden http://virus-protect.org/artikel/tools/vundofixx.html 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Registry values to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten «« poste hier das log vom avenger, was nach neustart erscheint »» lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb «« öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blankPC neustarten «« Klicke: Start -Ausfuehren- schreib rein: cmd dann kopiere in das schwarze DOS-Fenster: del %windir%\temp\*.* /f klicke "enter" schreibe Y ** smitfraudfix anwenden - option 2 http://virus-protect.org/artikel/tools/smitfrautfix.html «« scanne und poste den scanreport http://virus-protect.org/artikel/tools/superantispyware.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.11.2006, 13:14
...neu hier
Beiträge: 1 |
#10
Hi.. also ich hab mir auch den WinAntivirus2006 eingefangen.. habe Hijacklog-file erstellt..
meine Firewall meldet immer: Dateiversion : 1.0.0.1 Dateibeschreibung : Universa Application (win391.tmp.exe) Dateipfad : C:\WINDOWS\Temp\win391.tmp.exe Prozess-ID : C64 (Heximal) 3172 (Dezimal) Verbindungsursprung : lokal initiert Protokoll : TCP Lokale Adresse : 87.164.234.110 Lokaler Port : 1288 Remote-Name : Remote-Adresse : 82.98.235.63 Remote-Port : 80 (HTTP - World Wide Web) Ethernet-Paket-Details: Ethernet II (Packet Length: 80) Destination: 01-00-20-00-01-00 Source: 00-00-01-00-00-00 Type: IP (0x0800) Internet Protocol Version: 4 Header Length: 20 bytes Flags: .1.. = Don't fragment: Set ..0. = More fragments: Not set Fragment offset:0 Time to live: 128 Protocol: 0x6 (TCP - Transmission Control Protocol) Header checksum: 0x2f66 (Correct) Source: 87.164.234.110 Destination: 82.98.235.63 Transmission Control Protocol (TCP) Source port: 1288 Destination port: 80 Sequence number: 3415389790 Acknowledgment number: 0 Header length: 32 Flags: 0... .... = Congestion Window Reduce (CWR): Not set .0.. .... = ECN-Echo: Not set ..0. .... = Urgent: Not set ...0 .... = Acknowledgment: Not set .... 0... = Push: Not set .... .0.. = Reset: Not set .... ..1. = Syn: Set .... ...0 = Fin: Not set Checksum: 0x2d68 (Correct) Data (0 Bytes) Binäres Abbild des Pakets: 0000: 01 00 20 00 01 00 00 00 : 01 00 00 00 08 00 45 00 | .. ...........E. 0010: 00 34 14 E0 40 00 80 06 : 66 2F 57 A4 EA 6E 52 62 | .4..@...f/W..nRb 0020: EB 3F 05 08 00 50 CB 92 : B6 5E 00 00 00 00 80 02 | .?...P...^...... 0030: FF FF 68 2D 00 00 02 04 : 05 A0 01 03 03 01 01 01 | ..h-............ 0040: 04 02 01 03 03 01 01 01 : 04 02 3D 6E 61 76 63 6C | ..........=navcl naja.. und hier ist das logfile.. Logfile of HijackThis v1.99.1 Scan saved at 13:00:41, on 12.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5700.0007) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ClamWin\bin\ClamTray.exe C:\Programme\a-squared Anti-Dialer\a2adguard.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\System32\alg.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\TEMP\win38D.tmp.exe C:\WINDOWS\TEMP\win38F.tmp.exe C:\Programme\WinRAR\WinRAR.exe C:\WINDOWS\TEMP\Rar$EX00.922\HijackThis.exe C:\WINDOWS\TEMP\win391.tmp.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [ClamWin] "C:\Programme\ClamWin\bin\ClamTray.exe" --logon O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe" O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe (file missing) O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204 O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158570684734 O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://www.driveragent.com/files/driveragent.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15026/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7A6F654E-B9C4-453D-BBE0-82389A8E932D}: NameServer = 217.237.150.115 217.237.149.161 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe |
|
|
||
12.11.2006, 13:26
Ehrenmitglied
Beiträge: 29434 |
#11
Marcus32j
«« stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html «« Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html «« poste dieses log http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.11.2006, 14:38
...neu hier
Themenstarter Beiträge: 9 |
#12
Hallo Sabina,
danke für deine Antwort. Ich kann im Moment nichts an dem Computer machen, da ich nicht zuhause bin. Werde wahrscheinlich erst am Wochenende das CleanUp machen können. Dann werde ich alles abarbeiten, herzlichen Dank jedenfalls! bis später, Raljohns |
|
|
||
12.11.2006, 15:17
Ehrenmitglied
Beiträge: 29434 |
#13
Raljohns
arbeite also alles ab, sobald du am PC bist - und poste immer die jeweiligen Logs hier, damit ich den Vorgang der Reinigung mitverfolgen kann __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.11.2006, 21:00
...neu hier
Themenstarter Beiträge: 9 |
#14
Hallo Sabina, einen schönen Freitag-Abend!
Nun bin ich endlich gottseidank dazu gekommen alles abzuarbeiten. Hier sind die Logs. Ein Symbol in der Tasksleiste ist verschwunden, das mir immer angezeigt hat, dass mein Pc nicht geschützt sei (rotes Wappen, wie bei Windows-Sicherheitscenter). Ich glaube auch die Popups sind nun weg, kann ich aber noch nicht sagen. Meinst du der Pc ist nun gereinigt? Gruß, Raljohns Zitat VundoFix V6.2.8 Zitat SmitFraudFix v2.122 Zitat SUPERAntiSpyware Scan Logdanach in abgesichertem Modus: Zitat SUPERAntiSpyware Scan Log |
|
|
||
17.11.2006, 23:47
Ehrenmitglied
Beiträge: 29434 |
#15
poste bitte noch mal die 6 logs von datfindbat - bis september 2006 vom datum her
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
anscheinend wird hier einem sehr sehr gut geholfen bei Viren-Problemen. Ich hoffe und schätze, dass ihr mir auch helfen könnt.
Ein Problem ist das Win AntiVirus Pro 2006- Popup-Fenster, das ich nicht wegbekomme. Habe schon etliche Problemlösungen durchgemacht und ungefähr mehr als 10 Programme runtergeladen die anscheinend helfen sollen, doch ich weiß nie wie damit umgehen.
Zudem bekomme ich von meinem Norton AntiVirus immer wieder eine Viruswarnmeldung Hohes Risiko:
Objektname C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Temporary InternetFiles\Content.IE5\599QI7CH\wlzip32[1].exe
Virenname Trojan.Dropper (aber auch Trojan Horse sehr oft)
Aktion Die Datei konnte nicht repariert werden.
und das dann gleich ein paarmal, ein anderer Trojaner wurde gerade z.b. in "C:\WINDOWS\TEMP\win1B.tmp" gefunden.
SpyBot, Ad-Aware, Norton haben nichts gebracht.
Zudem habe ich folgende Programme installiert, die ich aber meistens nicht verstehe zu bedienen und bis jetzt anscheinend auch nichts gebracht haben:
CleanUp!, BCWipe3.0, Ashampoo PowerUp XP, ArchiCrypt Shredder3, RegistryFix, SpywareBlaster, CCleaner, RegCleaner, VirtumundoGone, Prozess Radar, ProceXp, KillBox, VundoFix.
Habe gelesen, dass ihr wohl ein HijackThis-Logfile benötigt.
Ich kann damit ehrlich gesagt überhaupt nichts anfangen.
Habe HiJackThis im abgesicherten Modus laufen lassen.
Hier das LogFile
Zitat
Danke für eure Hilfe!