VirusHeat ist aufgetaucht |
||
---|---|---|
#0
| ||
18.02.2008, 17:36
...neu hier
Beiträge: 3 |
||
|
||
18.02.2008, 18:02
Ehrenmitglied
Beiträge: 6028 |
#2
Smitfraudfix
Download Smitfraudfix by S!Ri zum Desktop Starte dein Recher in abgesicherten Modus Doppelklick Smitfraudfix.exe. Wähle die 2 und drücke auf Enter um die infizierten Dateien zu löschen Du wirst dann gefragt: Do you want to clean the registry? antworte mit Y (ja) und drücke auf Enter, um das DesktopBild zu entfernen und die Registry Schlüssel der Infektion zu bereinigen. Das Programm wird nun überprüfen, ob die wininet.dll infiziert ist. Man wird möglicherweise gefragt, die infizierte Datei entfernen zu lassen (wenn sie gefunden wird): Replace infected file ? antworte Y (ja) und drücke auf Enter, um eine saubere Datei zu bekommen. die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte... Wenn dein rechner nicht automatisch selbst neu startet,starte dan selbst neu in normal Modus Kopiere den Inhalt des Berichts in diesen Thread (C:\rapport.txt ) Und ein Log von Hijack This __________ MfG Argus |
|
|
||
18.02.2008, 18:51
...neu hier
Themenstarter Beiträge: 3 |
#3
So, alles so gemacht...mhh, hätte ich ja eig auch drauf kommen können...hatte SFF ja schon...rhh
naja, auf jeden Fall ist jetzt optisch wieder alles so wie vorher... (Desktop is ja klar, das der blau is...^^) Danke schonmal!!! Hier aber trotzdem die Log's Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:47:25, on 18.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE D:\Programme\Extensis Suitcase 11\Bonjour\mDNSResponder.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe D:\Programme\Nero\Nero 8\Nero BackItUp\NBService.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\Programme\SPAMfighter\SFAgent.exe D:\Programme\QuickTime\qttask.exe D:\Programme\RocketDock\RocketDock.exe C:\WINDOWS\system32\ctfmon.exe D:\Programme\PTBSync\PTBSync.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\Programme\VIA\RAID\raid_tool.exe C:\Programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe D:\Programme\Spyware Doctor\svcntaux.exe D:\Programme\OpenOffice.org 2.3\program\soffice.exe D:\Programme\OpenOffice.org 2.3\program\soffice.BIN D:\Programme\Spyware Doctor\swdsvc.exe D:\Programme\SPAMfighter\sfus.exe C:\WINDOWS\system32\svchost.exe D:\Programme\UPHClean\uphclean.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\System32\alg.exe D:\Programme\Trend Micro\HijackThis\abc.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\Internet Explorer\iepro.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - D:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [SfWinStartInfo] D:\programme\SFIRM32\sfWinStartupInfo.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [MsgCenterExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" -osboot O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SPAMfighter Agent] "D:\Programme\SPAMfighter\SFAgent.exe" update delay 60 O4 - HKCU\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [RocketDock] "D:\Programme\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [PTBSync] D:\Programme\PTBSync\PTBSync.exe /Start O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: quickstart.lnk = D:\Programme\OpenOffice.org 2.3\program\quickstart.exe O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\pp\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\Internet Explorer\iepro.dll O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\Internet Explorer\iepro.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O10 - Unknown file in Winsock LSP: d:\programme\spyware doctor\filterlsp.dll O10 - Unknown file in Winsock LSP: d:\programme\spyware doctor\filterlsp.dll O10 - Unknown file in Winsock LSP: d:\programme\spyware doctor\filterlsp.dll O10 - Unknown file in Winsock LSP: d:\programme\spyware doctor\filterlsp.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - Unknown owner - D:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - D:\Programme\Extensis Suitcase 11\Bonjour\mDNSResponder.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing) O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Programme\Nero\Nero 8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - D:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - D:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - D:\Programme\SPAMfighter\sfus.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: Venturi2 Client (Venturi2) - Unknown owner - C:\Program Files\Venturi2\Client\ventc.exe (file missing) -- End of file - 9610 bytes sry fürs großmachen...weiß nich wie ichs klein in das Feld reinschreib... Anhang: rapport.txt
|
|
|
||
18.02.2008, 18:59
Ehrenmitglied
Beiträge: 6028 |
#4
Fixe mit Hijack This
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k ATF cleaner Benutze ATF Cleaner http://board.protecus.de/t23188.htm Systemwiederherstellung Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann kannst du sie wieder aktivieren) __________ MfG Argus |
|
|
||
18.02.2008, 19:50
...neu hier
Themenstarter Beiträge: 3 |
#5
ok, hab ich. Noch einen (hoffentlich abschließenden) HiJackThis Log:
und wenn ich noch die Frage loswerden darf: was ist an dem Eintrag O4 nich richtig? Wurde ja bei der Auswertung nich als falsch angezeigt... ?? Anhang: hijackthis2.txt
|
|
|
||
18.02.2008, 20:28
Ehrenmitglied
Beiträge: 6028 |
||
|
||
20.02.2008, 14:44
...neu hier
Beiträge: 2 |
#7
wenn man dieses prozedere befolgt hat, ist dann der computer wieder frei von dem virus?
sorry, kenn mich nicht so aus.... |
|
|
||
23.02.2008, 10:36
...neu hier
Beiträge: 2 |
#8
über eine antwort würde ich mich sehr freuen!
|
|
|
||
23.02.2008, 10:43
Ehrenmitglied
Beiträge: 6028 |
#9
Kann man nicht mit Gewissheit sagen
Poste mal die Daten: ComboFix Download ComboFix und speichert es auf den Desktop! Alle Fenster schliessen und combofix.exe starten Folge den Instruktionen in das Fenster Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Wenn dein Virenscanner meckert,ignorieren ! Erstellen eines Hijackthis-Logfiles Entferne Hijack This 1.99 und download die letzte Version 2.0.2 Als erstes mach ein neuen Ordner auf C:\ z.b. C:\HijackThis,download HijackThis.exe dahin Download: HijackThis202 Doppelklick HijackThis.exe und installiere das Tool in C:\Programme Am Ende steht auf dein Desktop eine verknüpfung Starte Hijack This und klicke “Do a system scan and safe a logfile” Save log --> hijackthis.log - Save - es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Argus |
|
|
||
Ich habe heute, als mein Vater vom PC weggegangen ist gesehen, dass ein neues Prg. installiert war. Es hieß VirusHeat. Da ich schon Bekanntschaft mit so manchen Infektionen hatte habe ich richtig vermutet...Virus...bzw. Spyware oder sowas^^
Naja, auf jeden Fall hab ich das sofort runter gehauen mit der ganz normalen Deinstallation. Nachdem alles deinstalliert war und ich auch noch einmal gestartet habe war jedoch neben der Uhr immer noch das blinkende Zeichen, was alle paar Minuten auftaucht "Windows Alert! ..." Mhh...nun dachte ich, HijackThis noch und fertig...Nix da, auch nachdem ich den Spywaredoctor scannen ließ...immernoch da, obwohl was gefunden...nun nach dem 3. oder 4. Neustart kann ich auch nicht mehr den Aviara AntiVir Guard sehen, der wenn ich ihn starte jedoch auf aktiv eingestellt ist.
Jetzt bin ich am Ende und finde auch auf die Schnelle nichts Neues...
ich hoffe aber, dass ihr mir helfen könnt!
Bin ja mal gespannt...
MfG