Home » Viren, Trojaner & Malware Forum » Unklares Problem (vermute,hartnäckigen Virus) Wie zu beheben? » Themenansicht
Unklares Problem (vermute,hartnäckigen Virus) Wie zu beheben? |
||
|---|---|---|
| #0
| ||
|
09.12.2006, 18:09
Member
Beiträge: 13 |
||
 
|
|
|
|
09.12.2006, 18:34
Member
Themenstarter Beiträge: 13 |
#2
Alles verdächtige hier aufgelesitet:
-Unter Netzwerkverbindung DFÜ: Connesione Predefinita -selbständiges Öffnen vieler italienischer Pop-up sites z.b. gerad softlab.name/popup_opener.php? softlab.name/closer/ oder xxx-content.name/members/ namens Area Privata -Private Internet Zone mit italienischer Warnug,die nur durch den windows-taskmanager behoben werden kann, ohne sonst Fröste hervorzurufen - und jetzt das hartnäckigste: lauter icons/fenster mit der bezeichnung a:e1xplorer,exp1orer,Plug&Play,W1inMoviePlugIn im Desktop,unter Programme,Favoriten u. in Eigene Dateien!!!!Diese tauchen nach löschvorgängen immer wieder selbst wieder auf!! wie ihr sieht ich brauch schnellst möglich kompetente hilfe: Vielen Dank PS: ev. hilfreich folgende Ziele: "C:\Dokumente und Einstellungen\Bijan\Anwendungsdaten\Tack.exe "C:\WINDOWS\Downloaded Program Files\CONFLICT.88\conn.exe |
|
|
|
|
|
|
09.12.2006, 19:44
Ehrenmitglied
 Beiträge: 29434 |
#3
jean-claude
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Registry values to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom Avenger, was nach neustart erscheint + das log vom HijackThis http://virus-protect.org/hjtkurz.html + poste die 6 logs von datfindbat als Anhang (siehe unten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.12.2006, 12:45
Member
Themenstarter Beiträge: 13 |
#4
Der Gesamtheit halber nochmal
log vom Avenger : Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\ueuymcen ******************* Script file located at: \??\C:\WINDOWS\qguphvku.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\Dokumente und Einstellungen\Bijan\Anwendungsdaten\Tack.exe deleted successfully. File C:\Dokumente und Einstellungen\Bijan\slh.exe deleted successfully. File C:\Dokumente und Einstellungen\Bijan\jsetup.exe deleted successfully. File C:\tchqde.exe deleted successfully. File C:\faxf.exe deleted successfully. File C:\ecjavycq.exe deleted successfully. File C:\ylcx.exe deleted successfully. File C:\oyihjsb.exe deleted successfully. File C:\ugunrb.exe deleted successfully. File C:\pdwpamt.exe deleted successfully. File C:\WINDOWS\system32\jsetup.exe deleted successfully. File C:\WINDOWS\system32\tell.exe deleted successfully. File C:\WINDOWS\system32\ipv6monl.dll deleted successfully. File C:\WINDOWS\system32\msasvc.exe deleted successfully. File C:\WINDOWS\system32\ssh.exe deleted successfully. File C:\WINDOWS\system32\mcnew.exe deleted successfully. File C:\Dokumente und Einstellungen\Bijan\ssh.exe deleted successfully. File C:\Dokumente und Einstellungen\Bijan\mcnew.exe deleted successfully. File C:\Dokumente und Einstellungen\Bijan\tell.exe deleted successfully. Folder C:\WINDOWS\system32\vidmon deleted successfully. Folder C:\WINDOWS\system32\nfomon deleted successfully. Error: C:\WINDOWS\Downloaded Program Files\CONFLICT.88\conn.exe is not a folder! It may instead be a file. Deletion of folder C:\WINDOWS\Downloaded Program Files\CONFLICT.88\conn.exe failed! Could not process line: C:\WINDOWS\Downloaded Program Files\CONFLICT.88\conn.exe Status: 0xc0000103 Error: C:\WINDOWS\Downloaded Program Files\conn.exe is not a folder! It may instead be a file. Deletion of folder C:\WINDOWS\Downloaded Program Files\conn.exe failed! Could not process line: C:\WINDOWS\Downloaded Program Files\conn.exe Status: 0xc0000103 Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nfo deleted successfully. Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vidmon deleted successfully. Folder C:\Dokumente und Einstellungen\Bijan\\Anwendungsdaten\ratorefaci deleted successfully. Registry value HKLM\software\microsoft\windows\currentversion\run|aouei deleted successfully. Registry value HKLM\software\microsoft\windows\currentversion\run|Nfo deleted successfully. Registry value HKLM\software\microsoft\windows\currentversion\run|vidmon deleted successfully. Completed script processing. ******************* Finished! Terminate. hijackthis log angehängt, klappt nicht ,info zeigt an: die Datei hat eine verbotene Dateiendung!? Also kopieren und einfügen klappt auch immer noch nicht.werd immer rausgeschmissen. Aber positiv ist, dass die geschwindigkeit des pc zugenommen hat, die merkwürdigen italienischen icons etc. sind aber allerdings noch da... Dieser Beitrag wurde am 10.12.2006 um 13:00 Uhr von jean-claude editiert.
|
|
|
|
|
|
|
10.12.2006, 13:00
Ehrenmitglied
Beiträge: 29434 |
#5
jean-claude
«« Avenger Zitat Files to delete:«« stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html «« Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html «« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.12.2006, 13:23
Member
Themenstarter Beiträge: 13 |
||
|
|
|
|
|
10.12.2006, 13:27
Ehrenmitglied
Beiträge: 29434 |
#7
Zitat Sabina postete __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.12.2006, 13:28
Member
Themenstarter Beiträge: 13 |
#8
sabina, wie kann ich die denn auf einmal senden? u. files txt. ist sehr kurz als editor- das schwarze lässt sich nicht kopieren
Verzeichnis von C:\WINDOWS\system32 10.12.2006 13:09 70.872 ipv6monk.dll 10.12.2006 13:02 70.872 ipv6monl.dll 10.12.2006 12:16 70.872 ipv6monj.dll 30.11.2006 17:59 122.880 winstall.ex0 Verzeichnis von C:\WINDOWS 10.12.2006 13:09 96.472 installer3.3.78.exe Anhang: system32.txt Dieser Beitrag wurde am 10.12.2006 um 13:32 Uhr von jean-claude editiert.
|
|
|
|
|
|
|
10.12.2006, 13:32
Ehrenmitglied
Beiträge: 29434 |
#9
wie waere es , wenn du alle logs in eine txt-Datei packen wuerdest »?????
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.12.2006, 13:33
Member
Themenstarter Beiträge: 13 |
||
|
|
|
|
|
10.12.2006, 13:34
Ehrenmitglied
Beiträge: 29434 |
#11
c:\ sehe ich nun schon zum dritten mal...was machst du eigentlich ???
 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.12.2006, 13:36
Member
Themenstarter Beiträge: 13 |
#12
4444444444444444444444444444444444sorry ich mach das zum 1.mal u. stehe massiv unter zeitdruck. ich möchte alles auf einmal senden,auf meine eigenen will ich gar nicht antworten,was mir immer angezeigt wird!!!
Anhang: system.txt Dieser Beitrag wurde am 10.12.2006 um 13:40 Uhr von jean-claude editiert.
|
|
|
|
|
|
|
10.12.2006, 13:39
Ehrenmitglied
Beiträge: 29434 |
#13
datfindbat
1.Log Verzeichnis von C:\WINDOWS\system32\ 2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp\ - fehlt 3.Log Verzeichnis von C:\WINDOWS\ 4.Log Verzeichnis von C:\WINDOWS\temp\ - fehlt 5.Log Verzeichnis von C:\WINDOWS\Downloaded Program Files - fehlt 6.Log Verzeichnis von C:\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.12.2006, 13:42
Member
Themenstarter Beiträge: 13 |
||
|
|
|
|
|
10.12.2006, 13:44
Member
Themenstarter Beiträge: 13 |
||
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Bijan - 06-12-09 17:50:20,18 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Bijan\Eigene Dateien"
((((((((((((((((((((((((((((((( Files Created from 2006-11-09 to 2006-12-09 ))))))))))))))))))))))))))))))))))
2006-12-09 16:12 <DIR> d-------- C:\Programme\CleanUp!
2006-12-09 13:05 <DIR> d-------- C:\Programme\Messenger Plus! Live
2006-12-07 07:48 <DIR> d--h----- C:\WINDOWS\system32\vidmon
2006-12-07 07:48 <DIR> d--h----- C:\WINDOWS\system32\nfomon
2006-12-07 07:48 <DIR> d--h----- C:\Programme\Gemeinsame Dateien\Uninstall Information
2006-12-07 07:48 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vidmon
2006-12-07 07:48 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nfo
2006-11-30 17:49 77,824 --a------ C:\WINDOWS\system32\jsetup.exe
2006-11-30 17:49 77,824 --a------ C:\Dokumente und Einstellungen\Bijan\jsetup.exe
2006-11-30 08:10 14,056 --a------ C:\Dokumente und Einstellungen\Bijan\Anwendungsdaten\Tack.exe
2006-11-29 23:31 77,824 --a------ C:\Dokumente und Einstellungen\Bijan\slh.exe
2006-11-29 22:26 <DIR> d-------- C:\Dokumente und Einstellungen\Bijan\Anwendungsdaten\Ahead
2006-11-29 19:49 1,024 --a------ C:\tchqde.exe
2006-11-29 19:39 1,024 --a------ C:\faxf.exe
2006-11-29 19:17 75,776 --a------ C:\ecjavycq.exe
2006-11-29 19:16 8,570 --a------ C:\WINDOWS\system32\tell.exe
2006-11-29 19:10 1,941 --a------ C:\ylcx.exe
2006-11-29 19:09 1,024 --a------ C:\oyihjsb.exe
2006-11-29 19:08 98,008 --a------ C:\WINDOWS\system32\ipv6monl.dll
2006-11-29 19:08 3,584 --a------ C:\WINDOWS\system32\msasvc.exe
2006-11-29 19:08 151,256 --a------ C:\ugunrb.exe
2006-11-29 19:08 1,024 --a------ C:\pdwpamt.exe
2006-11-29 19:06 8,570 --a------ C:\Dokumente und Einstellungen\Bijan\tell.exe
2006-11-29 18:56 77,824 --a------ C:\WINDOWS\system32\ssh.exe
2006-11-29 18:56 138,565 --a------ C:\WINDOWS\system32\mcnew.exe
2006-11-29 16:26 77,824 --a------ C:\Dokumente und Einstellungen\Bijan\ssh.exe
2006-11-29 15:06 138,565 --a------ C:\Dokumente und Einstellungen\Bijan\mcnew.exe
2006-11-16 20:51 361,472 --a------ C:\WINDOWS\system32\drivers\Netfwdsl.sys
2006-11-16 20:51 28,160 --a------ C:\WINDOWS\system32\drivers\Aadev.sys
2006-11-16 20:51 11,264 --a------ C:\WINDOWS\system32\drivers\NETDSL.SYS
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
[color=red]Rootkit driver pe386 is present. A rootkit scan is required[/color]
2006-12-09 17:26 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-12-09 13:05 -------- d-------- C:\Programme\MSN Messenger
2006-12-06 12:01 -------- d-------- C:\Dokumente und Einstellungen\Bijan\Anwendungsdaten\FRITZ!
2006-12-05 21:53 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-12-04 13:52 -------- d-------- C:\Programme\QuickTime
2006-11-17 15:45 -------- d-------- C:\Programme\FRITZ!DSL
2006-11-17 15:44 -------- d-------- C:\Programme\FRITZ!Box
2006-11-16 20:51 -------- d-------- C:\Programme\Gemeinsame Dateien\AVM
2006-11-16 00:07 -------- d-------- C:\Programme\Internet Explorer
2006-11-13 15:14 -------- d-------- C:\Programme\Winamp
2006-11-13 15:14 -------- d-------- C:\Programme\eMule
2006-11-12 14:59 -------- d-------- C:\Programme\BearShare
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-11-03 17:42 -------- d-------- C:\Dokumente und Einstellungen\Bijan\Anwendungsdaten\Canon
2006-10-28 21:27 -------- d-------- C:\Programme\Google
2006-10-20 17:13 -------- d-------- C:\Dokumente und Einstellungen\Bijan\Anwendungsdaten\phonostar-Player
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-10 14:06 -------- d-------- C:\Dokumente und Einstellungen\Bijan\Anwendungsdaten\Apple Computer
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"LDM"="C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\BackWeb-8876480.exe"
"WebCamRT.exe"=""
"Yahoo! Pager"="\"C:\\PROGRA~1\\Yahoo!\\MESSEN~1\\YAHOOM~1.EXE\" -quiet"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"PhonostarAgent"="C:\\Programme\\phonostar\\ps_agent.exe"
"PhonostarTimer"="C:\\Programme\\phonostar\\ps_timer.exe"
"AIM"="C:\\PROGRA~1\\AIM95\\aim.exe -cnetwait.odl"
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
"NBJ"="\"C:\\Programme\\Ahead\\Nero BackItUp\\NBJ.exe\""
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"IgfxTray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\system32\\hkcmd.exe"
"Persistence"="C:\\WINDOWS\\system32\\igfxpers.exe"
"SoundMan"="SOUNDMAN.EXE"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"RemoteControl"="\"C:\\Programme\\Home Cinema\\PowerDVD\\PDVDServ.exe\""
"PCMService"="\"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe\""
"NWEReboot"=""
"ALDI_NORD_FotoSuite"="\"C:\\Programme\\ALDI Foto Service Nord\\ALDI_Foto_Service\\FotoSuite.exe\" /autorun"
"routcnf"="C:\\Programme\\DeTeWe\\TA 33 USB\\routcnf.exe"
"LVCOMS"="C:\\Programme\\Gemeinsame Dateien\\Logitech\\QCDriver3\\LVCOMS.EXE"
"LogitechGalleryRepair"="C:\\Programme\\Logitech\\ImageStudio\\ISStart.exe"
"LogitechImageStudioTray"="C:\\Programme\\Logitech\\ImageStudio\\LogiTray.exe"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb04.exe"
"Omnipage"="C:\\Programme\\ScanSoft\\OmniPageSE\\opware32.exe"
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"IMEKRMIG6.1"="C:\\WINDOWS\\ime\\imkr6_1\\IMEKRMIG.EXE"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"pccguide.exe"="\"C:\\Programme\\Trend Micro\\Internet Security 12\\pccguide.exe\""
"AnyDVD"="C:\\Programme\\SlySoft\\AnyDVD\\AnyDVD.exe"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"HostManager"="C:\\Programme\\Gemeinsame Dateien\\AOL\\1153990208\\ee\\AOLSoftware.exe"
"IPHSend"="C:\\Programme\\Gemeinsame Dateien\\AOL\\IPHSend\\IPHSend.exe"
"aouei"="C:\\Dokumente und Einstellungen\\Bijan\\Anwendungsdaten\\ratorefaci\\sysrtmvs.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"BearShare"="\"C:\\Programme\\BearShare\\BearShare.exe\" /pause"
"Nfo"="C:\\WINDOWS\\system32\\nfomon\\nfomon.exe"
"vidmon"="C:\\WINDOWS\\system32\\vidmon\\vidmon.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,02,\
00,00,01,00,00,00
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
Completion time: 06-12-09 17:51:26.21
C:\ComboFix.txt ... 06-12-09 17:51
C:\ComboFix2.txt ... 06-12-09 17:27