Trojan Horse Generic 10.AYRQ/AYUI/AZGR/AZGU/BAJM. Gelöschte dll.Dateien |
||
---|---|---|
#0
| ||
16.07.2008, 11:46
...neu hier
Beiträge: 9 |
||
|
||
16.07.2008, 12:15
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo jessy02
« wende cleaner an + lösche die temp-Dateien http://www.ccleaner.de/?protecus.de « wende combofix an , warnmeldung wegklicken + poste hier den report http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.07.2008, 13:05
...neu hier
Themenstarter Beiträge: 9 |
#3
Ich habe Malwarebytes' Anti-Malware laufen lassen.
Hier der Bericht. Werde jetzt Combofix anwenden. ----------------------------------------- Malwarebytes' Anti-Malware 1.20 Datenbank Version: 957 Windows 5.1.2600 Service Pack 2 13:01:37 16.07.2008 mbam-log-7-16-2008 (13-01-37).txt Scan Art: Komplett Scan (C:\|) Objekte gescannt: 95953 Scan Dauer: 39 minute(s), 39 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 7 Infizierte Registrierungswerte: 3 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{c6ea321d-ee5f-4ed5-b1ff-3a87f9d81abf} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winepi32 (Dialer) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{c6ea321d-ee5f-4ed5-b1ff-3a87f9d81abf} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\58dae20b (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSDisp32 (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\winepi32.dll (Dialer) -> Quarantined and deleted successfully. |
|
|
||
16.07.2008, 15:53
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo jessy02
« wende combofix an , warnmeldung wegklicken + poste hier den report http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.07.2008, 16:40
...neu hier
Themenstarter Beiträge: 9 |
#5
Hier ist der ComboFix-Bericht und weiter unten Hijackthis Log:
--------------------------------------------------------------------------- ComboFix 08-07-15.4 - user 2008-07-16 17:18:50.1 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\user\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\hknsehqf.ini C:\WINDOWS\system32\lkUBIkkj.ini C:\WINDOWS\system32\lkUBIkkj.ini2 C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\pqkvrjvl.ini C:\WINDOWS\system32\test.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-06-16 bis 2008-07-16 )))))))))))))))))))))))))))))) . 2008-07-16 12:09 . 2008-07-16 12:09 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-07-16 12:09 . 2008-07-16 12:09 <DIR> d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Malwarebytes 2008-07-16 12:09 . 2008-07-16 12:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-07-16 12:09 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-07-16 12:09 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-16 11:59 . 2008-07-16 11:59 <DIR> d-------- C:\Programme\CCleaner 2008-07-06 14:09 . 2008-07-08 21:07 <DIR> d--h----- C:\$AVG8.VAULT$ 2008-07-01 12:40 . 2008-07-01 12:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared 2008-07-01 12:40 . 2008-07-01 12:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe Systems 2008-07-01 12:39 . 2008-07-01 13:13 <DIR> d-------- C:\Programme\Photoshop CS2 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-16 14:52 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-07-11 07:23 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-07-11 07:22 --------- d-----w C:\Programme\ElsterFormular 2008-07-07 16:04 --------- d-----w C:\Programme\OpenOffice 2008-07-03 09:08 76,040 ----a-w C:\WINDOWS\system32\drivers\avgtdix.sys 2008-07-03 09:07 96,520 ----a-w C:\WINDOWS\system32\drivers\avgldx86.sys 2008-07-01 10:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-06-04 08:41 --------- d-----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\Move Networks 2008-05-21 15:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular 2008-05-20 08:24 --------- d-----w C:\Programme\AVG 2008-05-20 08:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8 . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-28 22:05 344064] "SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-07-27 14:48 1388544] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 12:12 102492] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 12:11 692316] "MagicKeyboard"="C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe" [2005-04-11 14:01 151552] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648] "RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-03-17 02:06 32768] "EPSON Stylus DX4200 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE" [2005-03-08 06:00 98304] "EPSON Stylus DX4200 Series (Kopie 1)"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE" [2005-03-08 06:00 98304] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-09-22 17:25 185784] "FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 20:27 312320] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-03-28 23:37 413696] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048] "AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-07-03 11:08 1232152] "AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 12:01 88209 C:\WINDOWS\AGRSMMSG.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=avgrsstx.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.ffds"= ffdshow.ax [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Mozilla Thunderbird\\thunderbird.exe"= "C:\\Programme\\Tipptrainer\\TTN.exe"= "C:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"= "C:\\Programme\\Kodak EasyShare software\\bin\\EasyShare.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\AVG\\AVG8\\avgupd.exe"= "C:\\Programme\\AVG\\AVG8\\avgemc.exe"= "C:\\WINDOWS\\system32\\winver.exe"= R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-07-03 11:07] R2 avg8emc;AVG8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-07-03 11:08] R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-07-03 11:07] R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-07-03 11:08] R2 DOSMEMIO;MEMIO;C:\WINDOWS\system32\MEMIO.SYS [2000-08-23 10:19] R2 SNM WLAN Service;SNM WLAN Service;C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe [2005-05-28 09:35] S2 CiscoVpnInstallService;Cisco Systems, Inc. Installer service;C:\DOKUME~1\user\LOKALE~1\Temp\IXP001.TMP\INSTAL~1.EXE [] S3 SUEPD;SUE NDIS Protocol Driver;C:\WINDOWS\system32\DRIVERS\SUE_PD.sys [2005-05-24 16:26] . Inhalt des "geplante Tasks" Ordners "2007-10-14 16:38:14 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . - - - - ORPHANS REMOVED - - - - BHO-{1C19E6A5-2E1E-49D4-BEB3-C8B53C740517} - C:\WINDOWS\system32\jkkIBUkl.dll HKLM-Run-Adobe Photo Downloader - C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe Notify-wvUnKBSk - wvUnKBSk.dll ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-16 17:24:30 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\wdfmgr.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Samsung\MagicKBD\MagicKBD.exe C:\Programme\iPod\bin\iPodService.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-07-16 17:29:43 - machine was rebooted [user] ComboFix-quarantined-files.txt 2008-07-16 15:28:37 9 Verzeichnis(se), 41,874,173,952 Bytes frei 14 Verzeichnis(se), 42,253,918,208 Bytes frei 129 ------------------------------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:07:16, on 16.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\AVG\AVG8\avgemc.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\iTunes\iTunesHelper.exe C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wuauclt.exe C:\DOKUME~1\user\LOKALE~1\Temp\HijackThis.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xn--janangermller-4ob.de/jsh/verwaltung/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB002" /M "Stylus DX4200" O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P36 "EPSON Stylus DX4200 Series (Kopie 1)" /O6 "USB001" /M "Stylus DX4200" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll O20 - AppInit_DLLs: avgrsstx.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Cisco Systems, Inc. Installer service (CiscoVpnInstallService) - Unknown owner - C:\DOKUME~1\user\LOKALE~1\Temp\IXP001.TMP\INSTAL~1.EXE (file missing) O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 6981 bytes Dieser Beitrag wurde am 16.07.2008 um 18:09 Uhr von jessy02 editiert.
|
|
|
||
16.07.2008, 18:13
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo jessy02
ComboFix entfernen Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" dann scanne noch mal mit malwarebytes, aber im abgesicherten modus. Dann sollte wieder alles o.k. sein wenn es noch Probleme geben sollte, melde dich. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.07.2008, 18:18
...neu hier
Themenstarter Beiträge: 9 |
#7
Wie starte ich den abgesicherten Modus?
Und was sagten dir die Logs? Und - was ist mit den gelöschten, infizierten Dateien? Brauche ich die nicht (sauber) wieder? |
|
|
||
16.07.2008, 18:58
Ehrenmitglied
Beiträge: 29434 |
#8
was entfernt wurde, waren Viren, keine Windowsdateien.
Abgesicherter Modus: http://www2.tu-berlin.de/www/software/virus/savemode.shtml Rechner neustarten - wenn er hochfährt, warte auf die Meldung Windows wird gestartet... klickst du mehrmals die Taste F8 - dann wähle das menü: abgesicherter modus. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.07.2008, 21:43
...neu hier
Themenstarter Beiträge: 9 |
#9
Jetzt hat Malwarebytes' Anti-Malware nichts mehr gefunden (siehe unten).
Trotzdem gibt's noch Fragen: 1. Fehlt meinem System jetzt nichts mehr? 2. Im Virus Vault von AVG sind ja noch die Viren, bzw. Dateien (siehe Anhang, auf 200% angucken)? Was mache ich mit denen?? Löschen? 3. Die Fehlermeldungen von Windows (angeblich fehlende Dateien .dll) waren also virusbedingte Fakes?? 4. Bei HJT (Log siehe oben im Thread) bekam ich folgende Fehlermeldung: Please help us improve HijackThis by reporting this error Click 'Yes' to submit Error Details: An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=win.ini, sSection=windows, sValue=load) Error #5 - Invalid procedure call or argument Windows version: Windows NT 5.01.2600 MSIE version: 6.0.2900.2180 HijackThis version: 2.0.2 Bitte nochmal um Antwort - und danke für die Hilfe! jessy02 ------------------------------------------------------------------------ Malwarebytes' Anti-Malware 1.20 Datenbank Version: 957 Windows 5.1.2600 Service Pack 2 21:32:20 16.07.2008 mbam-log-7-16-2008 (21-32-20).txt Scan Art: Komplett Scan (C:\|) Objekte gescannt: 80376 Scan Dauer: 3 hour(s), 2 minute(s), 40 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) -------------------------------------------------------- Anhang: screenshot_AVG virus vault.doc Dieser Beitrag wurde am 16.07.2008 um 22:43 Uhr von jessy02 editiert.
|
|
|
||
16.07.2008, 22:47
Ehrenmitglied
Beiträge: 29434 |
#10
««
ich kann die doc nicht öffnen, fehlt irgendein Filter (ist mein Testcomputer) wahrscheinlich sind es nur Angaben im Systemrestore (Systemwiederherstellung) Zitat Die Fehlermeldungen von Windows (angeblich fehlende Dateien .dll) waren alsoja, so ist es. warum HijackThis nicht funktioniert ? Wahrscheinlich hat dein Virenscanner es ausgelöscht. -------- Dein Rechner ist wieder sauber, lösche, was dein Scanner noch anzeigt. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.07.2008, 08:45
...neu hier
Themenstarter Beiträge: 9 |
#11
Okay, vielen vielen Dank für die schnelle und kompetente Hilfe!
Ich werde mich in Zukunft hüten, aber sollte mein PC wieder befallen werden, komme ich bestimmt wieder zu euch! |
|
|
||
AVG 8.0.138 hat ihn gefunden, zuerst im Windows-Ordner System 32, in den dll. Dateien. Leider habe ich zwei dieser Dateien komplett gelöscht, nachdem ich zuerst mit dem Virus Vault nicht umgehen konnte. Bekomme also immer zwei Meldungen beim Hochfahren, dass sie fehlen. Kann ich darauf verzichten? Kann ich sie wieder bekommen? Es handelt sich um C:\WINDOWS\system32\drvras.dll und fqhesnkh.dll
Außerdem - nach wiederholtem Virenscannen - waren folgende Dateien betroffen (in chronologischer Reihenfolge der Scan-Ergebnisse):
*C:\RECYCLER\S-1-5-21-1659004503-926492609-725345543-1004\Dc620.rar
*C:\RECYCLER\S-1-5-21-1659004503-926492609-725345543-1004\Dc620.rar:\keygen.exe
*C:\WINDOWS\system32\jJCtron.dll
C:\System Volume
Information\_restore{1A35CC9D-BA52-4BF7-BA18-2D16C0539E72}\RP72\A0044347.dll
C:\System Volume Information\_restore{1A35CC9D-BA52-4BF7-BA18-2D16C0539E72}\RP72\A0044349.dll
C:\System Volume Information\_restore{1A35CC9D-BA52-4BF7-BA18-2D16C0539E72}\RP72\A0044433.dll
C:\WINDOWS\system32\fqhesnkh.dll
C:\WINDOWS\system32\jkkIBUkl.dll [2x im selben Scan angezeigt]
*C:\WINDOWS\system32\lsass.exe (812)
C:\System Volume
Information\_restore{1A35CC9D-BA52-4BF7-BA18-2D16C0539E72}\RP72\A0044454.dll
C:\System Volume
Information\_restore{1A35CC9D-BA52-4BF7-BA18-2D16C0539E72}\RP72\A0044462.dll
C:\WINDOWS\system32\winepi32.dll
C:\System Volume
Information\_restore{1A35CC9D-BA52-4BF7-BA18-2D16C0539E72}\RP72\A0044560.dll
Außer den mit * markierten Dateien befinden sich alle anderen im Virus Vault vom AVG. Seit dem 8.7. (letzter infektiöser Scan) bekomme ich keine Viren-Meldungen mehr, habe täglich z.T. mehrmals gescannt.
Meine Fragen sind:
Was mache ich mit den infizierten Dateien im Virus Vault?
Kann man die reparieren?
Kann ich sie engültig löschen - braucht man die??
Ist der Rechner jetzt virenfrei?
Ich bitte um schnelle Hilfe und um Anleitungen für eventuelle weitere Überprüfungsprogramme.
Danke - jessy02