Internetverbindung wird immer nach paar Minuten unterbrochen

#0
17.10.2008, 22:55
Moderator

Beiträge: 5694
#16 >>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

O4 - HKLM\..\Run: [MSN] C:\Windows\gtfadsn.exe

O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll

O23 - Service: GF dert (GFdert) - Unknown owner - C:\Programme\Gemeinsame Dateien\System\gfdert.exe
und wähle fix checked.

Starte den Rechner neu.

>>
Starte Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html

und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

gtfadsn

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

>>
Start-> Einstellungen- Systemsteuerung- Verwaltung- Computerverwaltung und dann den Eintrag Dienste auswählen.

Schau mal ob folgender Dienst noch vorhanden ist:

"GF dert"

>>
Java
Teste mal Java http://java.com/de/download/help/testvm.xml
Wenn es veraltet ist mache folgendes :
Download Java Runtime Environment (JRE) 6u7 zum Desktop
http://javadl.sun.com/webapps/download/AutoDL?BundleId=23111

Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Die aeltere Versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Schliesse alle Programme auch dein Webbrowser
Installiere jetzt vom Desktop aus ---> jre-6u7-windows-i586-p.exe
__________

>>
Mach ein Onlinescan mit Bitdefender und poste das Log:
http://virus-protect.org/artikel/tools/bitdefender.html

GRuss Swiss
Dieser Beitrag wurde am 17.10.2008 um 23:07 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
18.10.2008, 11:11
Member

Themenstarter

Beiträge: 59
#17 Bei HijackThis gaben die Punkte nicht, die du erwähnt hast...

RegSearch log:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 18.10.2008 11:09:45 for strings:
; 'gtfadsn'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"i"="C:\\Dokumente und Einstellungen\\Degirmenci\\Desktop\\gtfadsn_pruf.txt"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\txt]
"g"="C:\\Dokumente und Einstellungen\\Degirmenci\\Desktop\\gtfadsn_pruf.txt"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Windows\\gtfadsn.exe"="gtfadsn"

; End Of Th

GF Dert gibt es unter Dienste nicht mehr...

BitDefender Online Scanner



Scan report generated at: Sat, Oct 18, 2008 - 11:58:36





Scan path: A:\;C:\;D:\;E:\;F:\;G:\;H:\;I:\;J:\;K:\;







Statistics

Time
00:34:03

Files
110445

Folders
4338

Boot Sectors
0

Archives
2025

Packed Files
5053




Results

Identified Viruses
6

Infected Files
41

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
41




Engines Info

Virus Definitions
1894171

Engine build
AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)

Scan plugins
16

Archive plugins
43

Unpack plugins
7

E-mail plugins
6

System plugins
4




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes




Scanned File
Status

C:\QooBox\Quarantine\C\Programme\MessengerSkinner\MessengerSkinner.exe.vir
Detected with: Adware.MSNSkinner.A

C:\QooBox\Quarantine\C\Programme\MessengerSkinner\MessengerSkinner.exe.vir
Deleted

C:\QooBox\Quarantine\C\Programme\MessengerSkinner\MessengerSkinnerDll.dll.vir
Detected with: Adware.MSNSkinner.A

C:\QooBox\Quarantine\C\Programme\MessengerSkinner\MessengerSkinnerDll.dll.vir
Deleted

C:\QooBox\Quarantine\C\WINDOWS\system32\sgbogkfetkmq.exe.vir
Infected with: Backdoor.Oderoor.2.Gen

C:\QooBox\Quarantine\C\WINDOWS\system32\sgbogkfetkmq.exe.vir
Disinfection failed

C:\QooBox\Quarantine\C\WINDOWS\system32\sgbogkfetkmq.exe.vir
Deleted

C:\System Volume Information\_restore{412C569E-8030-407A-A7E0-7B7BB051CFEC}\RP410\A0062749.exe=>(NSIS o)=>lzma_solid_nsis0005
Detected with: Adware.Navipromo.BYN

C:\System Volume Information\_restore{412C569E-8030-407A-A7E0-7B7BB051CFEC}\RP410\A0062749.exe=>(NSIS o)=>lzma_solid_nsis0005
Deleted

C:\System Volume Information\_restore{412C569E-8030-407A-A7E0-7B7BB051CFEC}\RP410\A0062749.exe=>(NSIS o)
Update failed

C:\System Volume Information\_restore{412C569E-8030-407A-A7E0-7B7BB051CFEC}\RP411\A0062763.exe=>(NSIS o)=>lzma_solid_nsis0006
Detected with: Adware.Navipromo.BYN

C:\System Volume Information\_restore{412C569E-8030-407A-A7E0-7B7BB051CFEC}\RP411\A0062763.exe=>(NSIS o)=>lzma_solid_nsis0006
Deleted

C:\System Volume Information\_restore{412C569E-8030-407A-A7E0-7B7BB051CFEC}\RP411\A0062763.exe=>(NSIS o)
Update failed

C:\System Volume Information\_restore{412C569E-8030-407A-A7E0-7B7BB051CFEC}\RP411\A0062763.exe=>(NSIS o)=>lzma_solid_nsis0008
Detected with: Adware.MSNSkinner.A

C:\System Volume Information\_restore{412C569E-8030-407A-A7E0-7B7BB051CFEC}\RP411\A0062763.exe=>(NSIS o)=>lzma_solid_nsis0008
Deleted

C:\System Volume Information\_restore{412C569E-8030-407A-A7E0-7B7BB051CFEC}\RP411\A0062763.exe=>(NSIS o)
Update failed

C:\System Volume Information\_restore{412C569E-8030-407A-A7E0-7B7BB051CFEC}\RP411\A0062763.exe=>(NSIS o)=>lzma_solid_nsis0009
Detected with: Adware.MSNSkinner.A

C:\System Volume Information\_restore{412C569E-8030-407A-A7E0-7B7BB051CFEC}\RP411\A0062763.exe=>(NSIS o)=>lzma_solid_nsis0009
Deleted

C:\System Volume Information\_restore{412C569E-8030-407A-A7E0-7B7BB051CFEC}\RP411\A0062763.exe=>(NSIS o)
Update failed

C:\System Volume Information\_restore{412C569E-8030-407A-A7E0-7B7BB051CFEC}\RP411\A0062763.exe=>(NSIS o)=>lzma_solid_nsis0028=>(NSIS g)=>lzma_solid_nsis0005
Detected with: Adware.Navipromo.BYN

C:\System Volume Information\_restore{412C569E-8030-407A-A7E0-7B7BB051CFEC}\RP411\A0062763.exe=>(NSIS o)=>lzma_solid_nsis0028=>(NSIS g)=>lzma_solid_nsis0005
Deleted

C:\System Volume Information\_restore{412C569E-8030-407A-A7E0-7B7BB051CFEC}\RP411\A0062763.exe=>(NSIS o)=>lzma_solid_nsis0028=>(NSIS g)
Update failed

C:\System Volume Information\_restore{412C569E-8030-407A-A7E0-7B7BB051CFEC}\RP411\A0062819.exe
Infected with: Trojan.Dropper.Agent.TYF

C:\System Volume Information\_restore{412C569E-8030-407A-A7E0-7B7BB051CFEC}\RP411\A0062819.exe
Deleted

C:\System Volume Information\_restore{DCB375D7-C87A-4284-B9C7-1B10E0658B2A}\RP790\A0111840.exe
Infected with: Backdoor.Oderoor.2.Gen

C:\System Volume Information\_restore{DCB375D7-C87A-4284-B9C7-1B10E0658B2A}\RP790\A0111840.exe
Disinfection failed

C:\System Volume Information\_restore{DCB375D7-C87A-4284-B9C7-1B10E0658B2A}\RP790\A0111840.exe
Deleted

C:\WINDOWS\system32\azsngk.exe
Detected with: Adware.Navipromo.BYZ

C:\WINDOWS\system32\azsngk.exe
Disinfection failed

C:\WINDOWS\system32\azsngk.exe
Deleted

C:\WINDOWS\system32\evawqruog.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\evawqruog.exe
Disinfection failed

C:\WINDOWS\system32\evawqruog.exe
Deleted

C:\WINDOWS\system32\hkxyuvzlx.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\hkxyuvzlx.exe
Disinfection failed

C:\WINDOWS\system32\hkxyuvzlx.exe
Deleted

C:\WINDOWS\system32\hmjaqvvlf.exe
Detected with: Adware.Navipromo.BYZ

C:\WINDOWS\system32\hmjaqvvlf.exe
Disinfection failed

C:\WINDOWS\system32\hmjaqvvlf.exe
Deleted

C:\WINDOWS\system32\hrqgkk.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\hrqgkk.exe
Disinfection failed

C:\WINDOWS\system32\hrqgkk.exe
Deleted

C:\WINDOWS\system32\jfwtzsdnoj.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\jfwtzsdnoj.exe
Disinfection failed

C:\WINDOWS\system32\jfwtzsdnoj.exe
Deleted

C:\WINDOWS\system32\juthflwihq.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\juthflwihq.exe
Disinfection failed

C:\WINDOWS\system32\juthflwihq.exe
Deleted

C:\WINDOWS\system32\krkaarfdl.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\krkaarfdl.exe
Disinfection failed

C:\WINDOWS\system32\krkaarfdl.exe
Deleted

C:\WINDOWS\system32\lbmkcov.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\lbmkcov.exe
Disinfection failed

C:\WINDOWS\system32\lbmkcov.exe
Deleted

C:\WINDOWS\system32\moshifxhb.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\moshifxhb.exe
Disinfection failed

C:\WINDOWS\system32\moshifxhb.exe
Deleted

C:\WINDOWS\system32\ngdndbg.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\ngdndbg.exe
Disinfection failed

C:\WINDOWS\system32\ngdndbg.exe
Deleted

C:\WINDOWS\system32\nynjsbjcf.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\nynjsbjcf.exe
Disinfection failed

C:\WINDOWS\system32\nynjsbjcf.exe
Deleted

C:\WINDOWS\system32\onzdofkhj.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\onzdofkhj.exe
Disinfection failed

C:\WINDOWS\system32\onzdofkhj.exe
Deleted

C:\WINDOWS\system32\qncwto.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\qncwto.exe
Disinfection failed

C:\WINDOWS\system32\qncwto.exe
Deleted

C:\WINDOWS\system32\qnjuhqboc.exe
Detected with: Adware.Navipromo.BYZ

C:\WINDOWS\system32\qnjuhqboc.exe
Disinfection failed

C:\WINDOWS\system32\qnjuhqboc.exe
Deleted

C:\WINDOWS\system32\rpdeeenta.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\rpdeeenta.exe
Disinfection failed

C:\WINDOWS\system32\rpdeeenta.exe
Deleted

C:\WINDOWS\system32\sbadzmc.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\sbadzmc.exe
Disinfection failed

C:\WINDOWS\system32\sbadzmc.exe
Deleted

C:\WINDOWS\system32\sfxtoqtzx.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\sfxtoqtzx.exe
Disinfection failed

C:\WINDOWS\system32\sfxtoqtzx.exe
Deleted

C:\WINDOWS\system32\slthkd.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\slthkd.exe
Disinfection failed

C:\WINDOWS\system32\slthkd.exe
Deleted

C:\WINDOWS\system32\sswxbc.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\sswxbc.exe
Disinfection failed

C:\WINDOWS\system32\sswxbc.exe
Deleted

C:\WINDOWS\system32\tbhinjr.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\tbhinjr.exe
Disinfection failed

C:\WINDOWS\system32\tbhinjr.exe
Deleted

C:\WINDOWS\system32\uafsct.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\uafsct.exe
Disinfection failed

C:\WINDOWS\system32\uafsct.exe
Deleted

C:\WINDOWS\system32\ugypfzgce.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\ugypfzgce.exe
Disinfection failed

C:\WINDOWS\system32\ugypfzgce.exe
Deleted

C:\WINDOWS\system32\ujiywmeve.exe
Detected with: Adware.Navipromo.BYZ

C:\WINDOWS\system32\ujiywmeve.exe
Disinfection failed

C:\WINDOWS\system32\ujiywmeve.exe
Deleted

C:\WINDOWS\system32\usckfpi.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\usckfpi.exe
Disinfection failed

C:\WINDOWS\system32\usckfpi.exe
Deleted

C:\WINDOWS\system32\vfjwbdjqv.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\vfjwbdjqv.exe
Disinfection failed

C:\WINDOWS\system32\vfjwbdjqv.exe
Deleted

C:\WINDOWS\system32\vuoyudl.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\vuoyudl.exe
Disinfection failed

C:\WINDOWS\system32\vuoyudl.exe
Deleted

C:\WINDOWS\system32\wvltfsdwt.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\wvltfsdwt.exe
Disinfection failed

C:\WINDOWS\system32\wvltfsdwt.exe
Deleted

C:\WINDOWS\system32\xjfacmja.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\xjfacmja.exe
Disinfection failed

C:\WINDOWS\system32\xjfacmja.exe
Deleted

C:\WINDOWS\system32\xszfromzyx.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\xszfromzyx.exe
Disinfection failed

C:\WINDOWS\system32\xszfromzyx.exe
Deleted

C:\WINDOWS\system32\zfkhxmxbh.exe
Detected with: Adware.Navipromo.BYT

C:\WINDOWS\system32\zfkhxmxbh.exe
Disinfection failed

C:\WINDOWS\system32\zfkhxmxbh.exe
Deleted
Dieser Beitrag wurde am 18.10.2008 um 12:02 Uhr von Blitzboy editiert.
Seitenanfang Seitenende
18.10.2008, 15:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 1.
lade blacklight - anwenden +
wenn der Scan zu Ende ist, wähle "Close".
Der Bericht ist fsbl-XXX.log im Blacklight Verzeichnis (oder auf dem Desktop)
poste den report
http://virus-protect.org/artikel/tools/blacklight.html

2.
scanne mit Panda + poste den report
http://virus-protect.org/panda-online.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.10.2008, 11:21
Member

Themenstarter

Beiträge: 59
#19 blacklight hat nichts gefunden...


ANALYSIS: 2008-10-20 12:38:03
PROTECTIONS: 0
MALWARE: 4
SUSPECTS: 1
;*********************************************************
PROTECTIONS
Description Version Active Updated
;=========================================================

MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;=========================================================

00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Degirmenci\Cookies\degirmenci@doubleclick[1].txt
00139535 Application/Processor HackTools No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Desktop\SDFix\SDFix\apps\Process.exe
00139535 Application/Processor HackTools No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Desktop\SDFix.zip[SDFix/apps/Process.exe]
02660997 Adware/NaviPromo Adware No 1 Yes No C:\WINDOWS\system32\nhwdxglli.exe
03738686 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Desktop\SDFix.zip[SDFix/catchme.exe]
03738686 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Desktop\SDFix\SDFix\catchme.exe
03738686 Generic Malware Virus/Trojan No 0 No No C:\Dokumente und Einstellungen\Degirmenci\Desktop\ComboFix.exe[32788R22FWJFW\catchme.cfexe]
03738686 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Desktop\SDFix\SDFix\apps\Cghtme.exe
03738686 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Desktop\SDFix.zip[SDFix/apps/Cghtme.exe]
;=========================================================

SUSPECTS
Sent Location
;=========================================================

No C:\Dokumente und Einstellungen\Degirmenci\Desktop\ComboFix.exe[32788R22FWJFW\psexec.cfexe]
;=========================================================
VULNERABILITIES
Id Severity Description
;=========================================================


Ich habe mal Kaspersky drüberlaufen lassen und habe 2 viren entfernen können.. dann waren noch welche unter ComboFix in Quarantäne, die nicht entfernt werden können... dann habe ich erneut mit Panda onlinescan gemacht.. hier 2. Ergebnis:

;*********************************************************
ANALYSIS: 2008-10-20 14:57:53
PROTECTIONS: 0
MALWARE: 7
SUSPECTS: 1
;*********************************************************
PROTECTIONS
Description Version Active Updated
;=========================================================

MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;=========================================================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Degirmenci\Cookies\degirmenci@doubleclick[1].txt
00139535 Application/Processor HackTools No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Desktop\SDFix\SDFix\apps\Process.exe
00139535 Application/Processor HackTools No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Desktop\SDFix.zip[SDFix/apps/Process.exe]
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Degirmenci\Cookies\degirmenci@mediaplex[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Degirmenci\Cookies\degirmenci@ad.yieldmanager[2].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Degirmenci\Cookies\degirmenci@apmebf[1].txt
02660997 Adware/NaviPromo Adware No 1 Yes No C:\WINDOWS\system32\nhwdxglli.exe
03738686 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Desktop\SDFix.zip[SDFix/apps/Cghtme.exe]
03738686 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Desktop\SDFix\SDFix\catchme.exe
03738686 Generic Malware Virus/Trojan No 0 No No C:\Dokumente und Einstellungen\Degirmenci\Desktop\ComboFix.exe[32788R22FWJFW\catchme.cfexe]
03738686 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Desktop\SDFix\SDFix\apps\Cghtme.exe
03738686 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Desktop\SDFix.zip[SDFix/catchme.exe]
;=========================================================
SUSPECTS
Sent Location 
;=========================================================
No C:\Dokumente und Einstellungen\Degirmenci\Desktop\ComboFix.exe[32788R22FWJFW\psexec.cfexe] 
;=========================================================
VULNERABILITIES
Id Severity Description 
;=========================================================



Hilft mir bitte... jedes mal kommen neue Viren zum Vorschein.. ich kapier das nicht mehr... eine Neuinstallation hätte weniger in Anspruch genommen :-)

Aber die Programme usw... naja.. will halt nicht neu installieren.. für schnelle Hilfe wäre ich super dankbar...


MfG
Dieser Beitrag wurde am 20.10.2008 um 15:01 Uhr von Blitzboy editiert.
Seitenanfang Seitenende
20.10.2008, 22:40
Moderator

Beiträge: 5694
#20 Also die meisten Einträge sind von Combofi und Sdfix. Das ist aber nichts schädliches.

>>
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
C:\WINDOWS\system32\nhwdxglli.exe
- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"
- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

>>
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb


>>
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
bleepingcomputer.com


->OTMoveIt2.exe auf dem Desktop speichern

OTMoveIt.exe klicken

1. klicken: CleanUp! button

2. cleanup.txt wird vom Internet geladen (von Firewall zulassen!)

3. Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes

>>
Erstelle ein neues HJT Log.

Gruss Swiss
Seitenanfang Seitenende
21.10.2008, 11:23
Member

Themenstarter

Beiträge: 59
#21 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:21:50, on 21.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4020 bytes
Seitenanfang Seitenende
21.10.2008, 17:08
Moderator

Beiträge: 5694
#22 Blitzboy

Du hast gar keinen Antivirenscanner??? Kein Wunder fängst Du Dir immer wieder neues ein. Bitte installier dir einen. z.B. Avira:
http://virus-protect.org/virenscanner.html

Wo ist das AvengeLog:

Zitat

- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen
Schau unter C:\avenger.txt ob es noch da ist und poste es.

Gruss Swiss
Seitenanfang Seitenende
22.10.2008, 12:29
Member

Themenstarter

Beiträge: 59
#23 Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\nhwdxglli.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


neueres von Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
22.10.2008, 14:23
Moderator

Beiträge: 5694
#24 hast du Dir nun einen Antivirenscanner installiert? Tretten noch Probleme auf?

Gruss Swiss
Seitenanfang Seitenende
22.10.2008, 14:26
Member

Themenstarter

Beiträge: 59
#25

Zitat

Tonstudio postete
hast du Dir nun einen Antivirenscanner installiert? Tretten noch Probleme auf?

Gruss Swiss
Hi,

die Internetverbindung ist zwar momentan stabil... ist aber schon lange...

Allerdings weiss ich nicht genau, ob überhaupt noch weitere Viren drauf sind usw...

Avira habe ich nun ja installiert...

Brauchst du noch weitere Logs oder so?

MfG
Seitenanfang Seitenende
22.10.2008, 14:33
Moderator

Beiträge: 5694
#26 Mach noch Onlinescans und schau ob noch etwas gefnden wird:
http://virus-protect.org/onlinescan.html

Aber das HJT Log zeigt mir keinen Scanner (AVIRA) an?!?

Gruss Swiss
Seitenanfang Seitenende
22.10.2008, 14:51
Member

Themenstarter

Beiträge: 59
#27 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:51:04, on 22.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4663 bytes
Seitenanfang Seitenende
22.10.2008, 14:58
Moderator

Beiträge: 5694
#28 Wunderbar ;) Jetzt kannst du noch einige Scan machen, siehe Link oben. Und berichte was diese sagen ;)
Seitenanfang Seitenende
22.10.2008, 16:52
Member

Themenstarter

Beiträge: 59
#29 ;***********************************************************************************************************************************************************************************
ANALYSIS: 2008-10-22 16:52:10
PROTECTIONS: 1
MALWARE: 5
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Avira AntiVir PersonalEdition 8.0.1.27 Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Degirmenci\Cookies\degirmenci@doubleclick[1].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Degirmenci\Cookies\degirmenci@mediaplex[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Degirmenci\Cookies\degirmenci@ad.yieldmanager[2].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Degirmenci\Cookies\degirmenci@apmebf[1].txt
03738686 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Desktop\SDFix.zip[SDFix/catchme.exe]
03738686 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Desktop\SDFix.zip[SDFix/apps/Cghtme.exe]
03738686 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Desktop\SDFix\SDFix\catchme.exe
03738686 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Desktop\SDFix\SDFix\apps\Cghtme.exe
;===================================================================================================================================================================================
SUSPECTS
Sent Location *
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description *
;===================================================================================================================================================================================
;===================================================================================================================================================================================

Wie bekomme ich die hier weg? :-)

mfG
Seitenanfang Seitenende
23.10.2008, 07:20
Moderator

Beiträge: 5694
#30 Die oberen Einträge sind alles Cookies:

Zitat

Ein Cookie ist ein ein kleine Datei, die dein Brwoser beim surfen von einem Webserver entgegennimmt und kurz oder lang speichert. Cookies können zu vielerlei Zwecken verwendet werden. Ein Cookie hat rein gar nichts mit einem Virus zu tun. Löschen kannst Du sie in deinem verwendeten Browser.

http://de.wikipedia.org/wiki/Cookie
Die unteren gehören zum Programm SDfix welches wir zur Reinigung eingesetzt haben. Das kannst wieder entfernen ist jedoch nicht schädlich.

Ansonsten wurde nichts gefunden ;)

Gruss Swiss
Seitenanfang Seitenende