Problem mit dem Trojaner "system alert!"

Thema ist geschlossen!
Thema ist geschlossen!
#0
28.12.2006, 21:16
...neu hier

Beiträge: 4
#1 Guten Abend,
ich habe auch ein problem mit diesem system alert!, habe mal eine hijackthis erstelt....
möchte aber wenn es geht nicht das windows updaten....
habe auch schon soweit mal was versucht mit den bereits erstellten beträgen mein problem selber zu beheben, komme nun aber nicht mehr weite und wollte fragen ob ihr mir hir villeicht weiter helfen könntet???????


Logfile of HijackThis v1.99.1
Scan saved at 20:57:10, on 28.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\issearch.exe
E:\WINDOWS\System32\VNICMon.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\WINDOWS\System32\RunDll32.exe
E:\Programme\HP\HP Software Update\HPWuSchd2.exe
E:\Programme\HP\hpcoretech\hpcmpmgr.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
E:\Programme\Sitecom\Bluetooth Software\BTTray.exe
E:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
E:\PROGRA~1\Sitecom\BLUETO~1\BTSTAC~1.EXE
E:\Programme\FRITZ!DSL\FwebProt.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\WinRAR\WinRAR.exe
E:\DOKUME~1\ALLGEM~1\LOKALE~1\Temp\Rar$EX00.891\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {f4d74aaa-a178-4463-846b-b4bc87a024e0} - E:\WINDOWS\System32\ixt0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NIC Monitor] VNICMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HP Software Update] "E:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "E:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [swg] E:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!webProtect.lnk = E:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = E:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: e:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: e:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: e:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: e:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: e:\programme\fritz!dsl\sarah.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC03BF1C-55AE-4D20-B469-AA33CA2455BB}: NameServer = 192.168.122.252,192.168.122.253
O21 - SSODL: beeper - {951a98d0-dad6-4a77-8280-a494279a884b} - E:\WINDOWS\System32\vwfps.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - E:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - E:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\System32\HPZipm12.exe






Schon mal im vorraus vielen danke für eure bemühungen

Gruß Kai
Seitenanfang Seitenende
28.12.2006, 23:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 kai1120

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.12.2006, 18:26
...neu hier

Themenstarter

Beiträge: 4
#3 Ich habe mal soweit deine Anweisungen befolgt habe dir hier mal einen Ausschnid reingestellt bevor ich ihn vor nicht al zu langer zeit nochmals platt gemacht hatte.
Weis jetzt aber nichtmehr weiter....

Gruß und danke soweit mal Kai

Volume in Laufwerk E: hat keine Bezeichnung.
Volumeseriennummer: 34E6-8941

Verzeichnis von E:\WINDOWS\system32

29.12.2006 18:04 89.047 1.Log
28.12.2006 09:12 2.206 wpa.dbl
25.12.2006 23:18 380.350 perfh009.dat
25.12.2006 23:18 52.764 perfc009.dat
25.12.2006 23:18 391.000 perfh007.dat
25.12.2006 23:18 63.580 perfc007.dat
25.12.2006 23:18 786.220 PerfStringBackup.INI
24.12.2006 15:14 20.992 vwfps.dll
22.12.2006 13:03 552 d3d8caps.dat
21.12.2006 18:51 1 ps.dat
21.12.2006 18:51 1 wab.dat
21.12.2006 18:51 1 cookie.dat
21.12.2006 18:49 43.520 helper1.dll
21.12.2006 18:49 48 helper.xml
21.12.2006 18:49 43.520 helper.dll
21.12.2006 07:34 110.192 FNTCACHE.DAT
20.12.2006 17:12 25.065 wmpscheme.xml
20.12.2006 17:07 302 $winnt$.inf
20.12.2006 17:05 2.951 CONFIG.NT
20.12.2006 17:05 16.832 amcompat.tlb
20.12.2006 17:05 23.392 nscompat.tlb
20.12.2006 17:04 488 logonui.exe.manifest
20.12.2006 17:04 488 WindowsLogon.manifest
20.12.2006 17:04 749 nwc.cpl.manifest
20.12.2006 17:04 749 sapi.cpl.manifest
20.12.2006 17:04 749 ncpa.cpl.manifest
20.12.2006 17:04 749 cdplayer.exe.manifest
20.12.2006 17:04 749 wuaucpl.cpl.manifest
20.12.2006 17:02 21.740 emptyregdb.dat
20.12.2006 17:01 0 h323log.txt
Seitenanfang Seitenende
29.12.2006, 23:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 kai1120

ich reinige dir das, aber da ich gerade meine Glaskugel verlegt habe: ;)
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.12.2006, 10:32
...neu hier

Themenstarter

Beiträge: 4
#5 aso jetzt weiß ich was du gemein hast sorry....



allgemein - 06-12-30 10:30:42,40 Service Pack 1
ComboFix 06.11.27 - Running from: "E:\Dokumente und Einstellungen\allgemein\Desktop\Kai\Behebung Trojaner"

((((((((((((((((((((((((((((((( Files Created from 2006-11-30 to 2006-12-30 ))))))))))))))))))))))))))))))))))

2006-12-25 23:14 <DIR> d-------- E:\Programme\HP
2006-12-25 23:13 <DIR> d--h----- E:\Config.Msi

2006-12-24 15:15 <DIR> d-------- E:\Programme\AntiVermins
2006-12-24 15:14 20,992 --a------ E:\WINDOWS\system32\vwfps.dll

2006-12-22 12:52 229,376 -ra------ E:\WINDOWS\system32\atiiiexx.dll
2006-12-21 18:49 43,520 --a------ E:\WINDOWS\system32\helper1.dll
2006-12-21 18:49 43,520 --a------ E:\WINDOWS\system32\helper.dll
2006-12-21 18:20 8,192 --a------ E:\WINDOWS\system32\tsbyuv.dll
2006-12-21 18:20 57,856 --a------ E:\WINDOWS\system32\drivers\drmk.sys
2006-12-21 18:20 50,176 --a------ E:\WINDOWS\system32\vfwwdm32.dll
2006-12-21 18:20 45,568 --a------ E:\WINDOWS\system32\iyuv_32.dll
2006-12-21 18:20 14,976 --a------ E:\WINDOWS\system32\drivers\serenum.sys
2006-12-21 18:20 134,272 --a------ E:\WINDOWS\system32\drivers\portcls.sys
2006-12-21 18:20 <DIR> d-------- E:\WINDOWS\LastGood
2006-12-21 18:18 <DIR> d-------- E:\Dokumente und Einstellungen\allgemein\Bluetooth Software
2006-12-21 18:17 <DIR> d-------- E:\Programme\Sitecom
2006-12-21 18:17 <DIR> d-------- E:\Programme\Gemeinsame Dateien\InstallShield
2006-12-21 18:16 77,824 -ra------ E:\WINDOWS\system32\btw_ci.dll
2006-12-21 18:08 <DIR> d-------- E:\Programme\Gemeinsame Dateien\Adobe
2006-12-21 18:08 <DIR> d-------- E:\Dokumente und Einstellungen\allgemein\Anwendungsdaten\AdobeUM
2006-12-21 18:08 <DIR> d-------- E:\Dokumente und Einstellungen\allgemein\Anwendungsdaten\Adobe
2006-12-21 17:38 182,880 --a------ E:\WINDOWS\system32\iuengine.dll
2006-12-21 17:38 <DIR> d-------- E:\WINDOWS\system32\ReinstallBackups
2006-12-21 17:33 98,304 -ra------ E:\WINDOWS\system32\34dialog.dll
2006-12-21 17:33 77,824 -ra------ E:\WINDOWS\system32\34dd.dll
2006-12-21 17:33 69,632 -ra------ E:\WINDOWS\system32\34TvCtrl.dll
2006-12-21 17:33 350,752 -ra------ E:\WINDOWS\system32\drivers\Cap7134.sys
2006-12-21 17:33 24,704 -ra------ E:\WINDOWS\system32\drivers\PhTVTune.sys
2006-12-21 17:33 135,168 -ra------ E:\WINDOWS\system32\34api.dll
2006-12-21 17:33 114,688 -ra------ E:\WINDOWS\system32\34com.dll
2006-12-21 17:33 106,571 -ra------ E:\WINDOWS\system32\Prop7134.dll
2006-12-21 17:32 670,203 -ra------ E:\WINDOWS\system32\drivers\ctxs51.sys
2006-12-21 17:32 380,736 -ra------

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))




(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="E:\\WINDOWS\\System32\\ctfmon.exe"
"swg"="E:\\Programme\\Google\\GoogleToolbarNotifier\\1.2.908.5008\\GoogleToolbarNotifier.exe"
"SpybotSD TeaTimer"="E:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NIC Monitor"="VNICMon.exe"
"NeroFilterCheck"="E:\\WINDOWS\\system32\\NeroCheck.exe"
"avgnt"="\"E:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"HP Software Update"="\"E:\\Programme\\HP\\HP Software Update\\HPWuSchd2.exe\""
"HP Component Manager"="\"E:\\Programme\\HP\\hpcoretech\\hpcmpmgr.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,c7,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="E:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="E:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{951a98d0-dad6-4a77-8280-a494279a884b}"="beeper"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoActiveDesktopChanges"=dword:00000000
"ClassicShell"=dword:00000000
"ForceActiveDesktopOn"=dword:00000000
"NoActiveDesktop"=dword:00000000
"NoSaveSettings"=dword:00000000
"NoThemesTab"=dword:00000000
"NoViewContextMenu"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableTaskMgr"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"beeper"="{951a98d0-dad6-4a77-8280-a494279a884b}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-12-30 10:31:03.89
E:\ComboFix.txt ... 06-12-30 10:31
E:\ComboFix2.txt ... 06-12-29 17:41
E:\ComboFix3.txt ... 06-12-29 17:38
Seitenanfang Seitenende
30.12.2006, 13:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 kai1120

1.
deaktiviere SpybotSD TeaTimer (behindert die Reinigung)

2.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

E:\WINDOWS\system32\ps.dat
E:\WINDOWS\system32\wab.dat
E:\WINDOWS\system32\cookie.dat
E:\WINDOWS\system32\helper1.dll
E:\WINDOWS\system32\helper.dll
E:\WINDOWS\system32\tsbyuv.dll

poste hier die reporte

_________________________________________________________________________________________

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|beeper
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{951a98d0-dad6-4a77-8280-a494279a884b}

registry keys to delete:
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f4d74aaa-a178-4463-846b-b4bc87a024e0}
HKLM\SOFTWARE\Classes\{f4d74aaa-a178-4463-846b-b4bc87a024e0}
HKLM\SOFTWARE\Classes\{951a98d0-dad6-4a77-8280-a494279a884b}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6B112EBD-0C90-4AC4-A969-F36797F00006}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{600B9825-0AC9-4541-8C42-73B405413560}
HKLM\SOFTWARE\AntiVermins

Files to delete:
E:\WINDOWS\System32\ixt0.dll
E:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\AntiVermins 2.1.lnk
E:\Dokumente und Einstellungen\%Username%\Startmenü\AntiVermins 2.1.lnk
E:\Dokumente und Einstellungen\%UserName%\Desktop\AntiVermins.lnk
E:\WINDOWS\system32\vwfps.dll

Folders to delete:
E:\Programme\AntiVermins
E:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~nsu.tmp
E:\Dokumente und Einstellungen\%Username%\Startmenü\Programme\AntiVermins
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter E:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.01.2007, 00:14
...neu hier

Themenstarter

Beiträge: 4
#7 Habe deine anweisungen befolgt und war erfolgreich.
habe nun aber noch ein weiteres problem frage mich aber ob dies mit dem tojaner zu tun haben kann?????
Mein Problem ist das der rechner wenn er neugestartet wurde, er nach dem hochfahren und die festplatte wieder zum stehen gekommen ist und dann aber gleich wieder runterfährt und das mehrermal im schnitt 3mal.

Gruß und danke nochmal für die hilfe bei dem helfen mit dem problem bei dem trojaner Kai
Seitenanfang Seitenende
04.01.2007, 00:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 2.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

E:\WINDOWS\system32\ps.dat
E:\WINDOWS\system32\wab.dat
E:\WINDOWS\system32\cookie.dat
E:\WINDOWS\system32\helper1.dll
E:\WINDOWS\system32\helper.dll
E:\WINDOWS\system32\tsbyuv.dll


poste hier die reporte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.01.2007, 13:53
...neu hier

Beiträge: 2
#9 habe auch das problem mit dem system alert...
meine combofix.txt:

"Markus" - 07-01-14 13:22:09 Service Pack 2
ComboFix 07-01-14.2 - Running from: "C:\Dokumente und Einstellungen\Markus\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-12-14 to 2007-01-14 ))))))))))))))))))))))))))))))))))


2007-01-14 12:49 20,992 --a------ C:\WINDOWS\system32\gwquvw.dll
2007-01-14 12:49 <DIR> d-------- C:\Programme\Video ActiveX Object
2007-01-14 12:49 <DIR> d-------- C:\Programme\AntiVerminser

2007-01-14 12:44 40,960 --a------ C:\WINDOWS\Fish Tycoon.scr
2007-01-14 12:44 <DIR> d-------- C:\Programme\Shockwave.com
2007-01-12 19:26 <DIR> d-------- C:\DOKUME~1\LOCALS~1\Anwendungsdaten\PC Suite
2007-01-12 19:09 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nokia
2007-01-04 22:01 <DIR> d-------- C:\DOKUME~1\Markus\Contacts
2006-12-19 16:42 <DIR> d-------- C:\Programme\Microsoft Visual Studio .NET
2006-12-19 16:41 <DIR> d-------- C:\XEClient
2006-12-19 15:58 <DIR> d-------- C:\oraclexe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-10 16:41 43520 --a------ C:\WINDOWS\system32\cmdlineext03.dll
2006-12-07 06:29 2374472 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-12-03 15:06 -------- d-------- C:\Programme\difx
2006-12-03 15:05 -------- d-------- C:\Programme\pc connectivity solution
2006-12-02 10:51 -------- d-------- C:\DOKUME~1\Markus\Anwendungsdaten\nokia
2006-12-02 10:51 -------- d-------- C:\DOKUME~1\Markus\Anwendungsdaten\datalayer
2006-12-02 10:40 -------- d-------- C:\Programme\nokia
2006-12-02 10:40 -------- d-------- C:\DOKUME~1\Markus\Anwendungsdaten\pc suite
2006-11-29 21:11 161931 --a------ C:\WINDOWS\go trabi go uninstaller.exe
2006-11-29 19:16 -------- d-------- C:\Programme\skype
2006-11-29 19:16 -------- d-------- C:\DOKUME~1\Markus\Anwendungsdaten\skype
2006-11-24 15:45 -------- d-------- C:\Programme\azureus
2006-11-24 15:45 -------- d-------- C:\DOKUME~1\Markus\Anwendungsdaten\azureus
2006-11-16 12:42 -------- d-------- C:\DOKUME~1\Markus\Anwendungsdaten\dbdesigner4
2006-11-16 12:41 -------- d-------- C:\Programme\dbdesigner4
2006-11-14 21:24 -------- d-------- C:\Programme\last.fm
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-10-20 02:38 715776 --a------ C:\WINDOWS\system32\sxs.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"TuneUp MemOptimizer"="\"C:\\Programme\\TuneUp Utilities 2004\\MemOptimizer.exe\" autostart"
"NBJ"="\"C:\\Programme\\Ahead\\Nero BackItUp\\NBJ.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"LaunchApp"="Alaunch"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"EPM-DM"="c:\\acer\\epm\\epm-dm.exe"
"ePowerManagement"="C:\\Acer\\ePM\\ePM.exe boot"
"LManager"="C:\\Programme\\Launch Manager\\QtZgAcer.EXE"
"LVCOMSX"="C:\\WINDOWS\\system32\\LVCOMSX.EXE"
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.6.0\\bin\\jusched.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_7 -reboot 1"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"Windows Terminplaner"="C:\\WinTer\\winter.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"HP Component Manager"="\"C:\\Programme\\HP\\hpcoretech\\hpcmpmgr.exe\""
"HP Software Update"="\"C:\\Programme\\HP\\HP Software Update\\HPWuSchd2.exe\""
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"openvpn-gui"="C:\\Programme\\OpenVPN\\bin\\openvpn-gui.exe"
"LogitechVideoTray"="C:\\Programme\\Logitech\\Video\\LogiTray.exe"
"LogitechVideoRepair"="C:\\Programme\\Logitech\\Video\\ISStart.exe "
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"PCSuiteTrayApplication"="C:\\PROGRA~1\\Nokia\\NOKIAP~1\\LAUNCH~1.EXE -onlytray"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{8d8c2387-7f80-4022-9be6-43630a969558}"="carbinyl"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"
"carbinyl"="{8d8c2387-7f80-4022-9be6-43630a969558}"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"none"="C:\\Programme\\Video ActiveX Object\\pmsngr.exe"
"isamonitor.exe"="C:\\Programme\\Video ActiveX Object\\isamonitor.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSharedDocuments"=hex:01,00,00,00

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
bthsvcs REG_MULTI_SZ BthServ\0\0
Usnsvc REG_MULTI_SZ usnsvc\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F]
Shell\AutoRun\command F:\LaunchU3.exe


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job

Completion time: 07-01-14 13:25:51
Seitenanfang Seitenende
14.01.2007, 14:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 MP1990

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\AntiVerminser]
2.
arbeite das avenger script und smitfraudfix ab ;)
http://virus-protect.org/artikel/spyware/antiverminser.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.01.2007, 14:47
...neu hier

Beiträge: 2
#11 hat alles geklappt ;)
danke für die rasche hilfe
mfg markus
Seitenanfang Seitenende