Home » Viren, Trojaner & Malware Forum » WORM/Alcra.B sowie TR/Drop.Agent.se.2 sowie WORM/Eyeveg.m.5.A » Themenansicht

WORM/Alcra.B sowie TR/Drop.Agent.se.2 sowie WORM/Eyeveg.m.5.A
#0
18.06.2007, 10:43
dakie
...neu hier

Beiträge: 6
#1 Hallo,

AntiVir meldet seit geraumer Zeit bei jedem Systemstart, dass es in 30-70 .tmp-Dateien Signaturen von WORM/Alcra.B sowie TR/Drop.Agent.se.2 sowie WORM/Eyeveg.m.5.A findet. Ich kann diese dann zwar mit AntiVir löschen, beim nächsten Hochfahren findet AntiVir aber genau das Gleiche wieder. Ansonsten funktioniert aber alles, auch den Task Manager kann ich öffnen und bedienen, aber der Prozessor ist immer extrem ausgelastet. Zudem muss ich nach jedem Hochfahren erstmal 10 Minuten die infizierten Dateien löschen.
Kann mir jemand sagen, wie ich das Zeug loswerde? Vielen Dank im Vorraus.
Hier die HJT log-Datei:


Logfile of HijackThis v1.99.1
Scan saved at 10:25, on 2007-06-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
c:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ezSP_Px.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\U3\0791017090E17881\LaunchPad.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
c:\Programme\Microsoft Works\WkDStore.exe
C:\WINDOWS\explorer.exe
C:\ComboFix\catchme.cfexe
C:\ComboFix\catchme.cfexe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dict.leo.org/?lang=de&lp=ende
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [p2p networking] p2pnetworking.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=0
O4 - HKLM\..\Run: [Windows Services] "C:\Programme\svchosts.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxdm930YYDE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - c:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/lobby/searchsettings.cab
O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} (ActiveCGM Control) - http://map.hamilton.ca/InteractiveMaps1024/ACGM/Acgm.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

[/i]
Seitenanfang Seitenende
18.06.2007, 11:17
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

erstmal folgendes durchführen:

Also:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat



Files to delete:
C:\Programme\svchosts.exe
C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
C:\Programme\MyWebSearch\bar\1.bin\m3SrchMn.exe
C:\Programme\RXToolBar\sfcont.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten



Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat


O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programme\RXToolBar\sfcont.dll (file missing)
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=0
O4 - HKLM\..\Run: [Windows Services] "C:\Programme\svchosts.exe"
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBIniti alSetup1.0.0.15.cab


Etwas aufräumen:
cleanen
- Empty Recycle Bins
- Delete Prefetch files
- Cleanup! All Users
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html


Dann bitte das hier komplett durcharbeiten und posten (alle Logs von oben ebenfalls posten).

http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)


Chris
Dieser Beitrag wurde am 18.06.2007 um 11:24 Uhr von Chris4You editiert.
Seitenanfang Seitenende
18.06.2007, 12:43
dakie
...neu hier

Themenstarter

Beiträge: 6
#3 Danke erstmal für die schnelle Antwort.
Habe alles so durchgeführt wie beschrieben.
Hier nun die diversen log-files:

Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dbyrjrda

*******************

Script file located at: \??\C:\WINDOWS\system32\xvxvyilb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Programme\svchosts.exe not found!
Deletion of file C:\Programme\svchosts.exe failed!

Could not process line:
C:\Programme\svchosts.exe
Status: 0xc0000034

File C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL deleted successfully.
File C:\Programme\MyWebSearch\bar\1.bin\m3SrchMn.exe deleted successfully.


Could not open file C:\Programme\RXToolBar\sfcont.dll for deletion
Deletion of file C:\Programme\RXToolBar\sfcont.dll failed!

Could not process line:
C:\Programme\RXToolBar\sfcont.dll
Status: 0xc000003a


Completed script processing.

*******************

Finished! Terminate.


Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 12:29, on 2007-06-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
c:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ezSP_Px.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\WINDOWS\explorer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dict.leo.org/?lang=de&lp=ende
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [p2p networking] p2pnetworking.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxdm930YYDE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - c:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/lobby/searchsettings.cab
O16 - DPF: {F5D98C43-DB16-11CF-8ECA-0000C0FD59C7} (ActiveCGM Control) - http://map.hamilton.ca/InteractiveMaps1024/ACGM/Acgm.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe



ComboFix:

ComboFix 07-06-13.3
"Daniel" - 2007-06-18 12:22:48 - Service Pack 2 NTFS


((((((((((((((((((((((((( Files Created from 2007-05-18 to 2007-06-18 )))))))))))))))))))))))))))))))


2007-06-18 10:08 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-02 15:22 <DIR> d-------- C:\Programme\SopCast
2007-06-02 15:22 <DIR> d-------- C:\DOKUME~1\Daniel\ANWEND~1\SopCast


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-18 09:40:27 58,340 ----a-w C:\DOKUME~1\Daniel\ANWEND~1\wklnhst.dat
2007-06-18 08:51:55 -------- d-----w C:\DOKUME~1\Daniel\ANWEND~1\U3
2007-06-14 08:28:41 -------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-21 17:33:27 -------- d-----w C:\Programme\Gemeinsame Dateien\SWF Studio
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-18 12:19:41 -------- d-----w C:\Programme\Gemeinsame Dateien\Deterministic Networks
2007-04-18 12:19:38 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-03-25 12:36:56 65,364 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-03-25 12:36:56 394,008 ----a-w C:\WINDOWS\system32\perfh007.dat
2003-08-16 18:56:00 579,584 --sha-r C:\WINDOWS\system32\cd.exe
2005-06-03 20:03:46 598,016 --sha-r C:\WINDOWS\system32\smmss.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
{9ECB9560-04F9-4bbc-943D-298DDF1699E1}=C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll [2004-09-08 23:54]
{BDF3E430-B101-42AD-A544-FADC6B084872}=C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll [2005-04-02 17:09]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 22:10]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 11:49]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 11:49]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-04-12 14:53]
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [2005-03-11 07:08]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2005-08-29 21:12]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-09-11 00:57]
"p2p networking"="p2pnetworking.exe" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-24 00:21]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"MyWebSearch Email Plugin"="C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe" [2006-12-06 19:26]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
"C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\I downloaded pirated Software from P2P]
Anno 1701 Limited Edition

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\I downloaded pirated Software from P2P and now I post my Hijack log whining]
C:\WINDOWS\system32\Need for Speed Most Wanted crack.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"C:\Programme\ICQLite\ICQLite.exe" -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
AutoRun\command- E:\LaunchU3.exe -a


Contents of the 'Scheduled Tasks' folder
2007-05-30 10:02:01 C:\WINDOWS\tasks\AppleSoftwareUpdate.job
2007-05-09 18:00:00 C:\WINDOWS\tasks\At1.job
2007-03-09 13:00:00 C:\WINDOWS\tasks\At2.job
2007-03-09 09:00:00 C:\WINDOWS\tasks\At3.job
2007-03-23 00:33:00 C:\WINDOWS\tasks\MP Scheduled Scan.job
2007-06-15 19:47:18 C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prüfen - Daniel.job
2007-06-18 08:31:43 C:\WINDOWS\tasks\Symantec NetDetect.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-18 12:26:08
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-18 12:26:57
C:\ComboFix-quarantined-files.txt ... 2007-06-18 12:26
C:\ComboFix2.txt ... 2007-06-18 10:20

--- E O F ---



Log-files mittels datfind.bat:

.
.
Bitte nur die Eintraege der letzten 3 Monate posten
.
.
Datentr„ger in Laufwerk C: ist 25-01-52
Volumeseriennummer: 18CA-6130

Verzeichnis von C:\WINDOWS\system32

2007-06-18 12:15 1,158 wpa.dbl
2007-06-06 08:38 15,747,032 MRT.exe
2007-05-16 17:11 683,520 inetcomm.dll
2007-05-08 10:59 3,583,488 mshtml.dll
2007-04-25 16:22 144,896 schannel.dll
2007-04-25 09:42 822,784 wininet.dll
2007-04-25 09:42 232,960 webcheck.dll
2007-04-25 09:42 1,152,000 urlmon.dll
2007-04-25 09:42 670,720 mstime.dll
2007-04-25 09:42 105,984 url.dll
2007-04-25 09:42 102,400 occache.dll
2007-04-25 09:42 193,024 msrating.dll
2007-04-25 09:42 477,696 mshtmled.dll
2007-04-25 09:41 459,264 msfeeds.dll
2007-04-25 09:41 52,224 msfeedsbs.dll
2007-04-25 09:41 1,824,768 inetcpl.cpl
2007-04-25 09:41 27,648 jsproxy.dll
2007-04-25 09:41 267,776 iertutil.dll
2007-04-25 09:41 44,544 iernonce.dll
2007-04-25 09:41 6,058,496 ieframe.dll
2007-04-25 09:41 384,512 iedkcs32.dll
2007-04-25 09:41 383,488 ieapfltr.dll
2007-04-25 09:41 132,608 extmgr.dll
2007-04-25 09:41 230,400 ieaksie.dll
2007-04-25 09:41 153,088 ieakeng.dll
2007-04-25 09:41 124,928 advpack.dll
2007-04-24 16:26 13,824 ieudinit.exe
2007-04-24 11:58 56,832 ie4uinit.exe
2007-04-24 09:34 161,792 ieakui.dll
2007-04-18 18:13 2,854,400 msi.dll
2007-04-18 14:21 8 success
2007-04-17 11:32 2,455,488 ieapfltr.dat
2007-04-16 17:53 1,058,304 kernel32.dll
2007-04-14 12:56 224,024 FNTCACHE.DAT
2007-04-13 18:46 4,254 jupdate-1.6.0_01-b06.log
2007-04-02 14:21 428,032 swreg.exe
2007-03-25 14:36 382,668 perfh009.dat
2007-03-25 14:36 54,220 perfc009.dat
2007-03-25 14:36 394,008 perfh007.dat
2007-03-25 14:36 65,364 perfc007.dat
2007-03-25 14:36 905,110 PerfStringBackup.INI
2007-03-17 15:45 293,376 winsrv.dll
2007-03-14 02:04 69,632 javacpl.cpl
2007-03-14 02:04 139,264 javaws.exe
2007-03-14 00:31 135,168 javaw.exe
2007-03-14 00:31 135,168 java.exe
2007-03-09 13:51 270,336 xpsp3res.dll
2007-03-08 17:48 282,112 gdi32.dll
2007-03-08 17:48 579,584 user32.dll
2007-03-08 17:48 40,960 mf3216.dll
2007-03-08 17:45 1,844,096 win32k.sys
2007-03-02 00:02 9,857 jupdate-1.5.0_11-b03.log
2192 Datei(en) 431,315,698 Bytes
0 Verzeichnis(se), 41,665,503,232 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist 25-01-52
Volumeseriennummer: 18CA-6130

Verzeichnis von C:\DOKUME~1\Daniel\LOKALE~1\Temp

2007-06-18 12:37 107,502 datfind.txt
2007-06-18 12:29 16,384 ~DFDE40.tmp
2007-06-18 12:27 5,212 log.txt
3 Datei(en) 129,098 Bytes
0 Verzeichnis(se), 41,665,523,712 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist 25-01-52
Volumeseriennummer: 18CA-6130

Verzeichnis von C:\WINDOWS

2007-06-18 12:14 0 0.log
2007-06-18 12:14 5,142 ModemLog_Smart Link 56K Modem.txt
2007-06-18 12:14 159 wiadebug.log
2007-06-18 12:14 1,124,413 WindowsUpdate.log
2007-06-18 12:14 50 wiaservc.log
2007-06-18 12:13 2,048 bootstat.dat
2007-06-18 12:13 32,526 SchedLgU.Txt
2007-06-18 10:23 116 NeroDigital.ini
2007-06-17 12:35 548,742 setupapi.log
2007-06-13 09:18 127,842 iis6.log
2007-06-13 09:18 277,380 comsetup.log
2007-06-13 09:18 168,523 ntdtcsetup.log
2007-06-13 09:18 1,374 imsins.log
2007-06-13 09:18 45,063 ocmsn.log
2007-06-13 09:18 317,311 tsoc.log
2007-06-13 09:18 22,074 KB929123.log
2007-06-13 09:18 404,851 ocgen.log
2007-06-13 09:18 40,941 msgsocm.log
2007-06-13 09:18 819,328 FaxSetup.log
2007-06-13 09:18 1,374 imsins.BAK
2007-06-13 09:18 21,311 KB935840.log
2007-06-13 09:16 20,955 KB935839.log
2007-06-13 09:16 26,714 KB933566-IE7.log
2007-06-13 09:15 87,304 updspapi.log
2007-06-05 05:24 87,552 catchme.exe
2007-06-02 23:36 153,910 wmsetup.log
2007-05-26 09:28 9,859 KB927891.log
2007-05-10 16:26 19,310 KB931768-IE7.log
2007-05-10 16:25 15,079 KB930916.log
2007-04-29 19:52 54,156 QTFont.qfn
2007-04-24 21:12 669 win.ini
2007-04-24 21:12 227 system.ini
2007-04-14 00:52 29,509 KB931784.log
2007-04-14 00:51 18,647 KB931261.log
2007-04-14 00:51 24,960 KB925902.log
2007-04-14 00:50 22,240 KB930178.log
2007-04-14 00:50 22,171 KB932168.log
2007-04-13 20:24 1,409 QTFont.for
2007-03-14 00:49 9,476 KB929399.log
2007-03-14 00:47 22,623 KB929338.log
2007-03-02 12:12 10,735 spupdsvc.log
2007-03-01 16:10 22,725 WgaNotify.log
255 Datei(en) 33,815,316 Bytes
0 Verzeichnis(se), 41,665,511,424 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist 25-01-52
Volumeseriennummer: 18CA-6130

Verzeichnis von C:\WINDOWS\temp

2007-06-18 12:14 2,379,776 tmp6.tmp
1 Datei(en) 2,379,776 Bytes
0 Verzeichnis(se), 41,665,511,424 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist 25-01-52
Volumeseriennummer: 18CA-6130

Verzeichnis von C:\WINDOWS\Downloaded Program Files

2006-12-04 16:16 144 QTPlugin.inf
2006-06-22 11:41 5,032 swflash.inf
9 Datei(en) 74,578 Bytes
0 Verzeichnis(se), 41,665,511,424 Bytes frei
.
.
.
Seitenanfang Seitenende
18.06.2007, 14:47
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#4 Hallo,

Du hast Dir (wahrscheinlich) W32/Rbot-AFL eingefangen....
(Und man sollte keine Cracks saugen oder so intelligent sein sie
nach Viren zu untersuchen s. u. ;o) )

Test die Datei:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

p2pnetworking.exe (unter C:\windows oder c:\windows\system32)
E:\LaunchU3.exe
Und da verarscht uns einer:
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\I downloaded pirated Software from P2P]
Anno 1701 Limited Edition

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\I downloaded pirated Software from P2P and now I post my Hijack log whining]
C:\WINDOWS\system32\Need for Speed Most Wanted crack.exe

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat


registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\I downloaded pirated Software from P2P
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\I downloaded pirated Software from P2P and now I post my Hijack log whining


Files to delete:
C:\WINDOWS\system32\Need for Speed Most Wanted crack.exe
C:\WINDOWS\temp\tmp6.tmp
C:\WINDOWS\system32\p2pnetworking.exe ** Nur falls erkannt!
C:\WINDOWS\p2pnetworking.exe ** Nur falls erkannt!



So,

dann nochmal ein HJ-Log, nenne HJ vorher auf Test.exe um.

Scanne mit Antivir im abgesicherten Modus,
Einstellungen wie folgt:
http://board.protecus.de/t23979.htm
Alles in Quarantäne verschieben lassen!

Scanne mit Kaskpersky OnlineScanner
http://www.kaspersky.com/de/virusscanner
und poste den Report...

Poste alle Logs

Chris
Seitenanfang Seitenende
18.06.2007, 15:23
dakie
...neu hier

Themenstarter

Beiträge: 6
#5 Es scheint keine Datei zu geben, die p2pnetworking.exe heißt, oder ich kann sie nicht finden...
Seitenanfang Seitenende
18.06.2007, 16:01
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#6 Hallo,

dann entferne den Komentar (***...) im Script und
führe die alles wie angegeben durch
(abgesicherter Modus).

Chris
Seitenanfang Seitenende
18.06.2007, 16:06
dakie
...neu hier

Themenstarter

Beiträge: 6
#7 Hallo,
ich habe Avenger und HJT durchgeführt, die Einstellungen in AntiVir wie vorgegeben konfiguriert. Nun wollte ich den PC neu starten, um im abgesicherten Modus zu scannen, aber leider geht NICHTS mehr (Ich schreibe von einem anderen Rechner). Ich kann weder Programme öffnen, noch den PC ausschalten bzw. neu starten... Was tun?

Gruß, Dan

Hallo,

ich korrigiere: PC startet neu braucht aber ca. 10 Minuten, bis er Befehle ausführt...
Dieser Beitrag wurde am 18.06.2007 um 16:26 Uhr von dakie editiert.
Seitenanfang Seitenende
18.06.2007, 16:26
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#8 Hi,

zeigt er eine Fehlermeldung an?
Geht der abgesicherte Modus noch?
Es wurden keine Systemkomponenten geändert/entfernt...

HJ legt immer ein Backup an, von CD booten und das Backup zurück-
spielen...

Wenn du unter "Fixen" Einträge gelöscht hast, die du aber wieder gerne hättest, oder diese endgültig von deinem System löschen willst, dann starte Hijackthis, wählen entweder direkt "View the list of backups (3), oder Misc Tools (4), und hier backups, oder zuerst (1, 2 oder 6) und dann den Button Config, wo du nun ebenfalls Backups auswählen kannst ...
durch markieren des Eintrages kannst du mit Restore den Löschvorgang unter Fixen rückgängig machen ...

(siehe auch: http://members.linzag.net/680262/HJT/HijackThis.html)

Chris
Seitenanfang Seitenende
18.06.2007, 16:41
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#9 Hi,

kannst Du im Taskmanager eine Task erkennen, die Rechenzeit
beansprucht?
Läuft die Festplatte die ganze Zeit?
Macht er viel über das Internet?
Nicht das sich in der Zwischenzeit was neues eingenistet hat...
Geht ein HJ-Log?

Chris

Edit: Nach Rücksprache könnten die beiden Hintergrundwächter schuld sein (Norton und Antivir). Du solltest einen von beiden deinstallieren bzw. deaktivieren...
Dieser Beitrag wurde am 18.06.2007 um 16:45 Uhr von Chris4You editiert.
Seitenanfang Seitenende
18.06.2007, 16:53
dakie
...neu hier

Themenstarter

Beiträge: 6
#10 Hallo Chris,

danke für die Tipps, allerdings habe ich es jetzt anders gemacht, weil sonst nichts mehr ging: ich hab eine Systemwiederherstellung gemacht, den Wiederherstellungspunkt hatte ich gestern (glücklicherweise) angelegt.

Nun weiß ich nicht so recht, was ich machen soll... Was würdest du empfehlen?

Danke nochmals

Dan


Sorry, hatte deinen Eintrag von 16:41 nicht gesehen...
Wie gesagt, habe die Systemwiederherstellung gemacht, es funktioniert alles wieder. Auch HJT. In dem log taucht auch wieder diese p2pnetworking.exe auf... Soll ich das log posten?
Dieser Beitrag wurde am 18.06.2007 um 17:09 Uhr von dakie editiert.
Seitenanfang Seitenende
18.06.2007, 17:11
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#11 Hi,

was ich etwas stutzig macht, ist das der Rechner so langsam geworden ist.

Fangen wir nochmal von vorne (nach der Systewiederherstellung an).
(Das Problem bei der Systemwiederherstellung ist meistens, dass die Viren/Trojaner
ebenfalls gesichert werden und dann auch wieder da sind);

HJ-Log (HJ erst umbenennen), sowie den Scan mit dem "angeschärften" Antivir im abgesicherten Modus.

Scanne mit Antivir im abgesicherten Modus,
Einstellungen wie folgt:
http://board.protecus.de/t23979.htm
Alles in Quarantäne verschieben lassen, Report posten

Scanne mit Kaskpersky OnlineScanner
http://www.kaspersky.com/de/virusscanner
und poste den Report...

Chris
Seitenanfang Seitenende
18.06.2007, 21:45
dakie
...neu hier

Themenstarter

Beiträge: 6
#12 Hallo,

sorry, bin heute jetzt nicht mehr dazugekommen, melde mich aber wieder. Danke für alles bis hierher.

Dan
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1