Ein Virus... und Keiner kann ihn Stoppen !!! |
||
---|---|---|
#0
| ||
12.09.2007, 14:56
...neu hier
Beiträge: 9 |
||
|
||
12.09.2007, 15:07
Member
Beiträge: 694 |
#2
Hi,
folgendes abarbeiten, nenne vorher die HJ-Exe auf test.com um! http://board.protecus.de/t23188.htm - Erstellen eines Hijackthis-Logfiles ((http://sicher-ins-netz.info/analyse/hjt.html) - CleanUp (temporaeren Dateien loeschen) - Combofix - Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten) Anschließend SilentRunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip Poste alle LOGS.... Chris |
|
|
||
12.09.2007, 15:48
...neu hier
Themenstarter Beiträge: 9 |
#3
Also ich hoffe ich habe meine Arbeit gut gemacht :-)
naja hier sind die Log`s ! Aber "Combofix" ist aus irgend einem Grund nicht gestartet !?! Genauso wie dieses "datFind.bat" ! Hoffe meinem Pc ist noch zu helfen. El Padre HJT Log: C:\WINDOWS\system32\wbem\wmiprvse.exe F:\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Preispiraten 4 - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\Programme\Preispiraten\Preispiraten4\IEButtonPPInterface.dll O2 - BHO: WeeklyExecuter Class - {f015f320-ab08-11db-abbd-0800200c9a66} - C:\WINDOWS\inetloader.dll (file missing) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [ooccctrl.exe] C:\Programme\OO Software\CleverCache\ooccctrl.exe /tasktray O4 - HKLM\..\Run: [Ashampoo FireWall PRO] "C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [system32OQJT Agent] C:\WINDOWS\system32OQJT.exe O4 - HKLM\..\Run: [Microsoft Update] smartftpcrackv1.3.exe O4 - HKLM\..\Run: [Ashampoo AntiSpyWare Guard] C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe O4 - HKLM\..\RunServices: [Microsoft Update] smartftpcrackv1.3.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized O4 - HKCU\..\Run: [Microsoft Update] smartftpcrackv1.3.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user') O4 - Global Startup: HotKeyDriver.lnk = C:\Programme\HotKey_Driver\HotKeyDriver.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten4\\preispiraten.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Preispiraten 4 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten\Preispiraten4\preispiraten3ie.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187240527796 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15030/CTPID.cab O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Programme\OO Software\CleverCache\ooccag.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programme\Windows Live\installer\WLSetupSvc.exe O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Schmidt/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg -- End of file - 9984 bytes |
|
|
||
12.09.2007, 16:00
Member
Beiträge: 694 |
#4
Hi,
das HJ-Log ist nicht vollständig! Das hier ist bereits zu erkennen: O4 - HKCU\..\Run: [Microsoft Update] smartftpcrackv1.3.exe O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM') O4 - HKLM\..\RunServices: [Microsoft Update] smartftpcrackv1.3.exe O4 - HKLM\..\Run: [Microsoft Update] smartftpcrackv1.3.exe O4 - HKLM\..\Run: [system32OQJT Agent] C:\WINDOWS\system32OQJT.exe O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Schmidt/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg Checke die angegebenen Files online: virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html Zitat C:\WINDOWS\system32OQJT.exePoste auf jeden Falls das Ergebniss, es interessiert mich welcher Scanner anspricht... Poste den Rest vom HJ-LOG und ComboFix etc. Chris Ps.: Und wenn schon mit Cracks hantiert wird, dann wenigstens vorher online prüfen lassen ...! |
|
|
||
12.09.2007, 16:29
...neu hier
Themenstarter Beiträge: 9 |
#5
Thx für die schnelle Hilfe !
Da ich das erste Mal erfahrungen mache mit diesem ganzen HJT u.s.w. müsste ich noch wissen wo ich die oben genannte Dateien finde..... El Padre |
|
|
||
12.09.2007, 16:45
Member
Beiträge: 694 |
#6
Hi,
welch Dateien meinst Du? Bis auf "smartftpcrackv1.3.exe" sind die Pfade klar, ich denke die Datei wird entweder in c:\windows\smartftpcrackv1.3.exe oder c:\windows\system32\smartftpcrackv1.3.exe zu finden sein! Das Log von dem Onlinescann musst Du per copy und paste aus dem Browser "abkopieren"... Combofix/datfind zeigt den Report nach dem Scannen an (im Editor).. chris So, bin jetzt weg, vielleicht machen Arni (der Nachtmensch) oder raman weiter, sonst bis morgen! Dieser Beitrag wurde am 12.09.2007 um 17:11 Uhr von Chris4You editiert.
|
|
|
||
13.09.2007, 13:35
...neu hier
Themenstarter Beiträge: 9 |
#7
Sooo ich habe leider noch so meine Probleme mit "Combofix". Er läuft zwar duch bleibt aber dann bei der Erstellung der Log datei hängen und arbeitet nicht mer weiter. Ich habe 30 min. gewartet und ihn dann doch noch geschlossen.
Ich habe gerade mit einem Computershop bei uns in der Nähe gesprochen und die meinten das z.Z. eine Wartezeit von ca. 3-4 Tagen herrscht. Nun brauche ich den Pc aus beruflichen Gründen noch einmal dringend vor dem 21.09. ! Nun meine Frage: Würde es einen Sinn machen, ein "Update" des Betriebssystems mit der Original CD zu machen ?? D.h. System neu nur Daten bleiben erhalten. ?!?! Danke für schnelle Hilfe |
|
|
||
13.09.2007, 13:47
Member
Beiträge: 694 |
#8
Hi,
im allgemeinen bleiben die Einstellungen (und damit die Viren/Trojaner) erhalten, so dass es wahrscheinlich nichts nutzen wird... Hast Du die Dateien Online prüfen lassen? Falls Du sie nicht findest: Explorer alle Dateien anzeigen: Explorer->Extras->Ordneroptionen->Ansicht: Erweiterung bei bekannten Dateitypen ausblenden -> kein Hacken Geschützte Systemdateien ausblenden -> kein Hacken Inhalte von Systemordnern anzeigen -> Hacken setzten Versteckt Dateien und Ordner -> Alle Dateien und Ordner anzeigen ON (anwählen) RISIKO: Du kannst die angegebenen Dateien auch "Blind" fixen... (Ob dann noch alles geht kann ich Dir nicht garantieren!) Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein!) Zitat
Poste dann ein neues HJ-Log... Chris Dieser Beitrag wurde am 13.09.2007 um 17:04 Uhr von Chris4You editiert.
|
|
|
||
ich habe ein Problem mit einem AUSERGEWÖNLICHEM Virus. Ich habe eine ".exe" Datei geöffnet und diese hat dann prommt ohne jegliche Aufforderrung
- Avira AntiVir Personal Edition
- Ashampoo Firewall PRO
- Ashampoo AntySpy
- Windows Defender
- Windows Systemwiederherstellung
- Ad-Aware SE
gelöscht, vernichtet, entfernt !!!!!!!! Ich kann KEINS der oben genannten Programme weder öffnen noch benutzen !!! Ich konnte noch nicht einmal versuchen die Programme neu zu installiieren..... Ich bin mit meinem Spanisch hier am ende wie ihr seht ist das nichts "Normales" !!!!!! Brauche dringend eure Hilfe wenns geht ohne Windows neu zu installieren da die Daten auf dem Pc sehr sehr wichtig sind !!!
Vielen Dank schon mal im Vorraus für eure Hilfe
Mit schlechten Nachrichten
El Padre