Home » Spyware & Browser Hijacker Support Forum » Malware-Virtumonde/langsamer systemstart/was tun? » Themenansicht
Malware-Virtumonde/langsamer systemstart/was tun?Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
14.11.2007, 05:55
Member
Beiträge: 56 |
||
 
|
|
|
|
14.11.2007, 17:20
Ehrenmitglied
 Beiträge: 6028 |
||
|
|
|
|
|
14.11.2007, 19:07
Member
Themenstarter Beiträge: 56 |
#3
ComboFix 07-11-08.1 - ''SeRa-SuN'' 2007-11-14 18:59:06.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.612 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\''SeRa-SuN''\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\d.exe C:\Dokumente und Einstellungen\''SeRa-SuN''\Anwendungsdaten\__c00EB252.exe~ C:\WINDOWS\cookies.ini C:\WINDOWS\scvhost.exe C:\WINDOWS\system32\gfeqenspds.dat C:\WINDOWS\system32\gfeqenspds.exe C:\WINDOWS\system32\gfeqenspds_nav.dat C:\WINDOWS\system32\gfeqenspds_navps.dat C:\WINDOWS\system32\nvs2.inf C:\WINDOWS\system32\oolitqqx.exe C:\WINDOWS\system32\ps.dat c:\WINDOWS\system32\rnitgh.dat C:\WINDOWS\system32\rnitgh.exe c:\WINDOWS\system32\rnitgh_navps.dat C:\WINDOWS\system32\wkuefswfw.dat C:\WINDOWS\system32\wkuefswfw.exe C:\WINDOWS\system32\wkuefswfw_navps.dat . ((((((((((((((((((((((( Dateien erstellt von 2007-10-14 bis 2007-11-14 )))))))))))))))))))))))))))))) . 2007-11-14 18:58 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-14 04:04 1,702 --a------ C:\WINDOWS\system32\tmp.reg 2007-11-14 03:38 <DIR> d-------- C:\VundoFix Backups 2007-11-09 13:31 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe 2007-11-09 11:59 <DIR> d-------- C:\WINDOWS\system32\AGEIA 2007-11-09 11:59 <DIR> d-------- C:\Programme\AGEIA Technologies 2007-11-06 13:23 <DIR> d-------- C:\WINDOWS\A4W_DATA 2007-11-06 13:21 <DIR> d-------- C:\Programme\KOCH Media 2007-10-19 17:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\NSV . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-14 03:27 7,864,320 ----a-w C:\Dokumente und Einstellungen\''SeRa-SuN''\ntuser.dat 2007-11-14 02:21 --------- d-----w C:\Programme\Ad-Aware 2007 2007-11-13 15:54 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-11-09 12:37 --------- d-----w C:\Dokumente und Einstellungen\''SeRa-SuN''\Anwendungsdaten\Adobe 2007-11-09 10:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-11-06 16:02 --------- d-----w C:\Dokumente und Einstellungen\''SeRa-SuN''\Anwendungsdaten\CyberLink 2007-11-06 01:37 --------- d-----w C:\Programme\eMule 2007-10-19 16:05 --------- d-----w C:\Programme\Winamp 2007-10-18 17:23 --------- d-----w C:\Dokumente und Einstellungen\''SeRa-SuN''\Anwendungsdaten\Google 2007-10-18 17:21 --------- d-----w C:\Programme\Google 2007-10-15 10:01 --------- d-----w C:\Programme\Soundman 2007-10-13 21:17 --------- d-----w C:\Programme\DkZ Studio 2007-10-10 13:40 --------- d-----w C:\Dokumente und Einstellungen\''SeRa-SuN''\Anwendungsdaten\InstallShield 2007-10-09 08:08 --------- d-----w C:\Programme\ICQLite 2007-09-27 17:26 --------- d-----w C:\Programme\Spiele 2007-09-25 19:38 --------- d-s---w C:\Dokumente und Einstellungen\''SeRa-SuN''\Anwendungsdaten\Microsoft 2007-09-24 18:00 --------- d-----w C:\Programme\BitComet 2007-09-20 19:13 --------- d-----w C:\Programme\PartyGaming 2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2006-10-09 11:55:55 8 --sh--r C:\WINDOWS\system32\EC23ACB85A.sys 2006-10-09 11:55:55 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys 2007-07-10 09:50:40 7,060,512 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2007-07-10 09:50:41 316,448 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-28 23:43] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ZoneAlarm Client"="C:\Programme\ZoneAlarm\zlclient.exe" [2007-03-08 23:02] "TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" [2007-04-26 19:08] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 13:00] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles "InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"= shdocvw.dll [ ] R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys R1 oreans32;oreans32;\??\C:\WINDOWS\system32\drivers\oreans32.sys R1 vdrv8000;vdrv8000;C:\WINDOWS\system32\DRIVERS\vdrv8000.sys R2 srvcPVR;Sceneo PVR Service;C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe R2 TVECapSvc;TVEnhance Background Capture Service (TBCS);"C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe" R2 TVESched;TVEnhance Task Scheduler (TTS));"C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe" R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs R3 3xHybrid;Philips SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys S3 HHCDHelp.sys;HHCDHelp.sys;\??\C:\WINDOWS\system32\drivers\HHCDHelp.sys HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\P] \Shell\AutoRun\command - P:\Autorun.exe *Newly Created Service* - CATCHME . Inhalt des "geplante Tasks" Ordners "2007-11-09 16:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-14 19:00:52 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-11-14 19:01:17 . --- E O F --- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:10:41, on 14.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Ad-Aware 2007\aawservice.exe C:\Programme\ZoneAlarm\zlclient.exe C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe C:\Programme\Virtual CD v8\System\VC8SecS.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\''SeRa-SuN''\Desktop\Jacke\HJT.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [ZoneAlarm Client] C:\Programme\ZoneAlarm\zlclient.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160402350437 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161001832152 O17 - HKLM\System\CCS\Services\Tcpip\..\{FC267DC5-F8D1-447B-A3C4-677725C11E32}: NameServer = 89.199.255.3 O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Ad-Aware 2007\aawservice.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - C:\Programme\Virtual CD v8\System\VC8SecS.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 5536 bytes ---------------------------------------------------------------------------- . . Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten . . Datenträger in Laufwerk C: ist BOOT Volumeseriennummer: EC90-7252 Verzeichnis von C:\WINDOWS\system32 14.11.2007 18:08 55.081 vsconfig.xml 14.11.2007 04:47 4.212 zllictbl.dat 14.11.2007 04:17 0 tmp.txt 14.11.2007 04:17 1.702 tmp.reg 14.11.2007 03:01 118 MRT.INI 13.11.2007 20:23 984.675 ootjjqlq.ini 06.11.2007 15:59 765.240 eubwlqrj.ini 02.11.2007 08:12 18.238.072 MRT.exe 02.11.2007 01:00 750.574 volliyyx.ini 29.10.2007 16:07 373.760 xpsp3res.dll 28.10.2007 22:38 410.472 perfh007.dat 28.10.2007 22:38 396.256 perfh009.dat 28.10.2007 22:38 60.920 perfc009.dat 28.10.2007 22:38 73.536 perfc007.dat 28.10.2007 22:38 952.390 PerfStringBackup.INI 28.10.2007 22:33 2.206 wpa.dbl 25.10.2007 17:42 8.501.248 shell32.dll 25.09.2007 20:55 220.040 FNTCACHE.DAT 30.08.2007 02:00 249.852 TZLog.log 30.08.2007 00:40 346 licnyehk.ini 2319 Datei(en) 536.869.766 Bytes 0 Verzeichnis(se), 81.303.994.368 Bytes frei . . . Datenträger in Laufwerk C: ist BOOT Volumeseriennummer: EC90-7252 Verzeichnis von C:\DOKUME~1\''SERA~1\LOKALE~1\Temp 14.11.2007 19:14 113.605 datfind.txt 1 Datei(en) 113.605 Bytes 0 Verzeichnis(se), 81.304.010.752 Bytes frei . . . Datenträger in Laufwerk C: ist BOOT Volumeseriennummer: EC90-7252 Verzeichnis von C:\WINDOWS 14.11.2007 18:09 116 NeroDigital.ini 14.11.2007 18:08 0 0.log 14.11.2007 18:08 1.213.593 WindowsUpdate.log 14.11.2007 18:08 159 wiadebug.log 14.11.2007 18:08 50 wiaservc.log 14.11.2007 18:07 2.048 bootstat.dat 14.11.2007 04:43 64.790 setupapi.log 14.11.2007 04:27 32.582 SchedLgU.Txt 14.11.2007 04:21 296.644 ntbtlog.txt 14.11.2007 04:19 195 setupact.log 14.11.2007 03:02 4.056 ehOCGen.log 14.11.2007 03:02 5.160 MedCtrOC.log 14.11.2007 03:02 79.508 iis6.log 14.11.2007 03:02 24.388 comsetup.log 14.11.2007 03:02 14.783 ntdtcsetup.log 14.11.2007 03:01 33.852 tsoc.log 14.11.2007 03:01 1.393 imsins.log 14.11.2007 03:01 9.370 KB943460.log 14.11.2007 03:01 3.732 tabletoc.log 14.11.2007 03:01 4.104 ocmsn.log 14.11.2007 03:01 3.708 msgsocm.log 14.11.2007 03:01 12.996 netfxocm.log 14.11.2007 03:01 34.992 ocgen.log 14.11.2007 03:01 8.268 plusoc.log 14.11.2007 03:01 73.901 FaxSetup.log 14.11.2007 03:01 22.388 msmqinst.log 14.11.2007 03:01 7.753 updspapi.log 10.11.2007 20:40 338 fsplus.ini 06.11.2007 13:25 7.983 Aware40.mch 06.11.2007 13:23 35 A4W.INI 01.11.2007 02:30 504 CleaningLab.INI 29.10.2007 18:56 136.192 catchme.exe 20.10.2007 00:12 612 win.ini 20.10.2007 00:12 304 system.ini 10.10.2007 15:45 1.393 imsins.BAK 10.10.2007 15:45 11.954 KB933729.log 10.10.2007 15:45 35.514 KB939653.log 10.10.2007 15:44 12.635 KB941202.log 10.09.2007 19:32 487 wincmd.ini 10.09.2007 19:32 257 wcx_ftp.ini 07.09.2007 01:03 36 xbins_options.ini 05.09.2007 06:02 545 ARJ.PIF 05.09.2007 06:02 545 RAR.PIF 05.09.2007 06:02 545 NOCLOSE.PIF 05.09.2007 06:02 545 LHA.PIF 05.09.2007 06:02 545 PKZIP.PIF 05.09.2007 06:02 545 PKUNZIP.PIF 05.09.2007 06:02 545 UC.PIF 30.08.2007 02:00 23.958 KB933360.log 162 Datei(en) 48.297.304 Bytes 0 Verzeichnis(se), 81.303.994.368 Bytes frei . . . Datenträger in Laufwerk C: ist BOOT Volumeseriennummer: EC90-7252 Verzeichnis von C:\WINDOWS\temp 14.11.2007 18:08 0 JETD8BC.tmp 14.11.2007 18:07 256 ZLT0332f.TMP 14.11.2007 18:07 256 ZLT06441.TMP 3 Datei(en) 512 Bytes 0 Verzeichnis(se), 81.304.002.560 Bytes frei . . . Datenträger in Laufwerk C: ist BOOT Volumeseriennummer: EC90-7252 Verzeichnis von C:\WINDOWS\Downloaded Program Files 9 Datei(en) 553.913 Bytes 0 Verzeichnis(se), 81.303.998.464 Bytes frei . . . so,das war glaube ich,erstmal alles soweit.. meine probleme hatte ich ja schon beschrieben! liebe grüsse °°Robi°° __________ "Würde man immer warten,bis man etwas perfekt kann, brächte man nie etwas zustande." Dieser Beitrag wurde am 14.11.2007 um 19:21 Uhr von Robi editiert.
|
|
|
|
|
|
|
14.11.2007, 19:15
Ehrenmitglied
Beiträge: 6028 |
#4
Entferne auf C:\ Qoobox-->Papierkorb leeren
Entferne auf C:\ VundoFix Backups-->Papierkorb leeren __________ MfG Argus |
|
|
|
|
|
|
14.11.2007, 19:24
Member
Themenstarter Beiträge: 56 |
#5
jupp,habe nun die von dir genannten ordner entfernt u den papierkorb geleert!
__________ "Würde man immer warten,bis man etwas perfekt kann, brächte man nie etwas zustande." |
|
|
|
|
|
|
14.11.2007, 19:33
Ehrenmitglied
Beiträge: 6028 |
#6
Avenger
Download Avenger zum Desktop Alle Fenster muessen geschlossen sein Starte Avenger Anhaken Input script manually Die "Lupe" rechts anklicken - View/edit script (wird sich öffnen) kopiere rein: Files to delete: C:\WINDOWS\system32\ootjjqlq.ini C:\WINDOWS\system32\eubwlqrj.ini C:\WINDOWS\system32\volliyyx.ini C:\WINDOWS\system32\licnyehk.ini Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen __________ MfG Argus |
|
|
|
|
|
|
14.11.2007, 19:50
Member
Themenstarter Beiträge: 56 |
#7
irgendwie konnte er beim ersten versuch nach dem reboot keine logfile finden,aber bei versuch nummer zwei hat es geklappt ;-)
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\cvtptoaq ******************* Script file located at: \??\C:\Program Files\ahuadjek.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\ootjjqlq.ini deleted successfully. File C:\WINDOWS\system32\eubwlqrj.ini deleted successfully. File C:\WINDOWS\system32\volliyyx.ini deleted successfully. File C:\WINDOWS\system32\licnyehk.ini deleted successfully. Completed script processing. ******************* Finished! Terminate. __________ "Würde man immer warten,bis man etwas perfekt kann, brächte man nie etwas zustande." |
|
|
|
|
|
|
14.11.2007, 20:04
Ehrenmitglied
Beiträge: 6028 |
#8
Entferne auf C:\ avenger\backup.zip -->Papierkorb leeren
CombiFix entfernen Start > Ausführen>Kopiere rein Combofix /u OK Java Dein Java software ist veraltet, Download jre-6u3-windows-i586-p.exe Scrolle runter nach ----> Java Runtime Environment (JRE) 6 Update 3 The Java SE Runtime Environment (JRE) allows end-users to run Java applications. Klicke auf Download Setze in haeckchen bei --->"Accept License Agreement". Klicke “Windows Offline Installation, Multi-language” um “jre-6u3-windows-i586-p.exe” zum Desktop zu installieren Schliesse alle Programme auch dein Webbrowser Ueber "Start -> Einstellungen -> Systemsteuerung -> Software Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE) Auch auf C:\Programme\Java entfernen! Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus ---> jre-6u3-windows-i586-p.exe Systemwiederherstellung Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. Neu Starten Dann wieder aktivieren (Häkchen entfernen) Was fuer ein Virenscanner benutzt du eigentlich? __________ MfG Argus |
|
|
|
|
|
|
14.11.2007, 20:32
Member
Themenstarter Beiträge: 56 |
#9
alles soweit erledigt...
SD-Spybot Search&Destroy ver.1.4/Ad-Aware 2007 ver.7.0.2.5 ansonsten Zone Alarm 7.0 allerdings ohne lizenz(shareware) danke für den schnellen support zum thema virenscanner u sicherheitssoftware:was würdest du mir da generell empfehlen?? __________ "Würde man immer warten,bis man etwas perfekt kann, brächte man nie etwas zustande." |
|
|
|
|
|
|
14.11.2007, 20:36
Ehrenmitglied
Beiträge: 6028 |
||
|
|
|
|
|
14.11.2007, 20:48
Member
Themenstarter Beiträge: 56 |
#11
ja,dann erstmal danke für deine hilfe und dein tipp zum thema antivir!
sind wir jetzt soweit durch,oder kommt da noch was?? was ist mit zone alarm?drauflassen/deinstallieren?? ist ad-aware u spybot search&destroy sinnvoll? __________ "Würde man immer warten,bis man etwas perfekt kann, brächte man nie etwas zustande." |
|
|
|
|
|
|
14.11.2007, 20:54
Ehrenmitglied
Beiträge: 6028 |
#12
AntiSpyware Programme sind immer gut
ZoneAlarm sollte man behalten,ein Firewall braucht man __________ MfG Argus |
|
|
|
|
|
|
14.11.2007, 20:58
Member
Themenstarter Beiträge: 56 |
#13
alles klar,
dann bin ich jetzt erstmal soweit gut ausgerüstet.. ich dachte nur,antivir enthält auch eine firewall funktion..naja ok,wenn die programme sich nicht gegenseitig behindern ist ja alles in ordnung :-))) wenn das jetzt alles war, wünsche ich dir noch nen schönen abend liebe grüsse °°Robi°° __________ "Würde man immer warten,bis man etwas perfekt kann, brächte man nie etwas zustande." |
|
|
|
|
|
|
14.11.2007, 21:07
Ehrenmitglied
Beiträge: 6028 |
||
|
|
|
|
|
16.11.2007, 01:48
Member
Themenstarter Beiträge: 56 |
#15
hi,
ich bins nochmal... habe jetzt mal mit avir einen komplettscan durchgeführt und dabei folgende trojaner entdeckt,welche sich nicht löschen lassen,bzw. immer wieder auftauchen: Beginne mit der Suche in 'C:\' <BOOT> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP2\A0000122.dll [FUND] Ist das Trojanische Pferd TR/Rkit.Nuclear.0.A [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476ce2a5.qua' verschoben! C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP2\A0000123.exe [FUND] Ist das Trojanische Pferd TR/Rkit.Nuclear.0.B [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476ce2aa.qua' verschoben! C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP2\A0000124.exe [FUND] Ist das Trojanische Pferd TR/Favadd.BE [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476ce2ae.qua' verschoben! C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP2\A0000126.exe [FUND] Ist das Trojanische Pferd TR/Fotomoto.A [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476ce2b1.qua' verschoben! C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP2\A0000127.exe [FUND] Ist das Trojanische Pferd TR/Fotomoto.A [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476ce2b4.qua' verschoben! C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP2\A0000128.exe [FUND] Ist das Trojanische Pferd TR/Fotomoto.A [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476ce2b7.qua' verschoben! C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP2\A0000129.exe [FUND] Ist das Trojanische Pferd TR/Fotomoto.A [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476ce2b9.qua' verschoben! C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP2\A0000130.exe [FUND] Ist das Trojanische Pferd TR/Fotomoto.A [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476ce2bb.qua' verschoben! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\vaxscsi.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <RECOVER> würde mich freuen,wenn mir jemand helfen könnte diese dateien zu beseitigen! ach ja,seit dem ich dieses neue java-update installiert habe,gibt es teilweise probleme beim anzeigen von websiten(o2online/myspace)... gruss °°Robi°° __________ "Würde man immer warten,bis man etwas perfekt kann, brächte man nie etwas zustande." |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
habe mich durch einige beiträge geschnüffelt und versucht meinem problem selbst auf die schliche zu kommen,leider ohne erfolg :-(
vielleicht kann mir ja jemand helfen:
ad-aware fand beim smart scan malware(virtumonde) und konnte dieses problem nicht beheben,des weiteren braucht der pc(MD 8818 v. medion) uuuuuuuuuuuunheimlich lange um hochzufahren...
würde mich über einen lösungvorschlag freuen!
achso,von zeit zu zeit gibt es probleme, beim herunterfahren, mit beenden des folgenden programms(mir unbekannt):XPCOM Event receiver(??)
glaube auch, dass viele,für mich irrelevanten, programme im hintergrund laufen bzw. beim hochfahren starten(traue mir allerdings nicht,irgendwas zu entfernen,da ich nich weiss,inwiefern die prozesse eventuell wichtig wären)..
*danke schonmal im vorraus für jeden,der sich meinen problemen widmet*
°°Robi°°
Logfile of HijackThis v1.99.1
Scan saved at 05:43:43, on 14.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
C:\Programme\Virtual CD v8\System\VC8SecS.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\''SeRa-SuN''\Desktop\HijackThis.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ZoneAlarm Client] C:\Programme\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160402350437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161001832152
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC267DC5-F8D1-447B-A3C4-677725C11E32}: NameServer = 89.199.255.3
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Ad-Aware 2007\aawservice.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - C:\Programme\Virtual CD v8\System\VC8SecS.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
__________
"Würde man immer warten,bis man etwas perfekt kann, brächte man nie etwas zustande."