Bluescreen ShutDown - Protect your safety Trojaner

#0
15.12.2008, 16:18
Member

Beiträge: 35
#1 Hallo miteinander!

Muss mich leider wieder melden.

Nach monatelanger (jahrelanger?) Abstinez jeglicher Viren hab ich mir nun doch wieder einen geholt (Wie auch immer...)

Auf dem Desktop befinden sich nun immer zwei Internetverknüpfungen: "Protect your safety"
und
"Search better than Google!" (Screenshot hängt an).
Gelegentlich (kann's leider nicht genau sagen) kommt ein Bluescreen,
der kurz von 5 runterzählt, und dann startet der PC neu. Oft passiert es beim starten von Programmen, manchmal auch einfach so.

Avira Antivir meldet sich gelegentlich, kann ihn aber nicht löschen. Im abgesicherten Modus hab ich ihn schon laufen lassen, hat was gefunden, gelöscht, hat aber nix gebracht.
Spyware Doctor hat so einiges gefunden, und gelöscht, DIESER Virus ist aber trotzdem noch da.
HiJackThis ist (glaub ich) clean, aber ist im Anhang.

Nun weiß ich leider nichtmehr wie ich vorgehen soll.
Image hab ich "von vor 8 Tagen". Wäre schade, wenn ich das benutzen muss, aber nicht extrem schlimm.

Danke schonmal für eure Unterstützung
Johannes

P.S. Ich nutze Windows Vista
Anhang:


Seitenanfang Seitenende
15.12.2008, 16:46
Moderator

Beiträge: 5694
#2 Arbeite folgendes durch:
http://board.protecus.de/t23188.htm

Gruss Swiss
Seitenanfang Seitenende
15.12.2008, 16:52
Member
Avatar Gool

Beiträge: 4730
#3 wobei folgender Eintrag im HJT-Log schon sehr verdächtig wirkt:

O4 - HKLM\..\Run: [promo] C:\Windows\system32\promo.exe

Bitte abarbeiten ;)
http://board.protecus.de/t23188.htm

Nachtrag: ok, Tonstudio war etwas schneller
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
15.12.2008, 21:06
Member

Themenstarter

Beiträge: 35
#4 Sooo,

erstmal vielen Dank für eure Antworten.

Habe alles erledigt, aber nach dem letzten Restart sind die zwei Verknüpfungen (nachdem ich sie zuvor gelöscht hatte) wieder da!

Hijackthis zeigt auchnoch das "promo.exe"-file an.
Soll ich es im abgesicherten Modus löschen?

Die Logs hab ich alle hochgeladen:

www.v2007.de/mbam-log-2008-12-15%20(17-06-34).txt
www.v2007.de/mbam-log-2008-12-15%20(17-05-48).txt
www.v2007.de/hijackthis.txt
www.v2007.de/log.txt

Danke schoneinmal wieder im Voraus:-)

Gruß
Johannes
Seitenanfang Seitenende
16.12.2008, 14:39
Moderator

Beiträge: 5694
#5 >>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"promo"=-

File::
c:\windows\System32\dgmlurl2.ico
c:\windows\System32\dgmlurl1.ico
c:\windows\System32\promo.exe
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen


danach: Combofix noch einmal anwenden

>>
poste das Neue Log von Combofix


>>
Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate:
http://www.virus-protect.org/datfindbat.html

>>
Dein Java ist veraltet bitte führe ein Update durch:
http://board.protecus.de/t32385-1.htm
Dieser Beitrag wurde am 16.12.2008 um 15:02 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
16.12.2008, 16:09
Member

Themenstarter

Beiträge: 35
#6 datfinbat:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2418-4E25

Verzeichnis von c:\

16.12.2008 16:06 0 dirdat.txt
16.12.2008 15:53 2.460.487.680 pagefile.sys
04.12.2008 16:55 4.096 VSNAP.IDX
14.04.2008 18:51 171.136 grldr
19.01.2008 08:45 333.203 bootmgr
07.07.2007 23:45 0 IO.SYS
07.07.2007 23:45 0 MSDOS.SYS
04.08.2004 13:00 250.032 ntldr
04.08.2004 13:00 47.564 NTDETECT.COM
9 Datei(en), 2.461.293.711 Bytes
0 Verzeichnis(se), 44.299.341.824 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2418-4E25

Verzeichnis von C:\Windows\system32

16.12.2008 15:54 4.272 7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
16.12.2008 15:54 4.272 7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
16.12.2008 15:49 296 spsys.log
14.12.2008 20:37 598.212 perfh009.dat
14.12.2008 20:37 105.586 perfc009.dat
14.12.2008 20:37 631.708 perfh007.dat
14.12.2008 20:37 128.054 perfc007.dat
14.12.2008 20:37 1.454.568 PerfStringBackup.INI
10.12.2008 00:24 17.593.280 mrt.exe
09.12.2008 19:32 201.440 PnkBstrB.exe
11.11.2008 20:01 1.394 lvcoinst.log
06.11.2008 14:14 11.580.928 shell32.dll
04.11.2008 10:30 90.112 QuickTimeVR.qtx
04.11.2008 10:30 57.344 QuickTime.qts
03.11.2008 02:45 34 VideoConverter_sysquict.dat
01.11.2008 04:44 28.672 Apphlpdm.dll
01.11.2008 02:21 4.240.384 GameUXLegacyGDFs.dll
22.10.2008 02:22 2.048 tzres.dll
21.10.2008 06:25 296.960 gdi32.dll
16.10.2008 22:13 1.809.944 wuaueng.dll
16.10.2008 22:12 561.688 wuapi.dll
16.10.2008 22:09 51.224 wuauclt.exe
16.10.2008 22:09 43.544 wups2.dll
16.10.2008 22:08 34.328 wups.dll
16.10.2008 21:56 1.524.736 wucltux.dll
16.10.2008 21:55 83.456 wudriver.dll
16.10.2008 15:13 1.791.520 FNTCACHE.DAT
16.10.2008 14:08 162.064 wuwebv.dll
16.10.2008 13:56 31.232 wuapp.exe
16.10.2008 05:47 827.392 wininet.dll
16.10.2008 05:47 1.166.336 urlmon.dll
16.10.2008 05:47 466.944 netapi32.dll
16.10.2008 05:47 671.232 mstime.dll
16.10.2008 05:47 3.578.880 mshtml.dll
16.10.2008 05:47 28.160 jsproxy.dll
16.10.2008 05:47 270.336 iertutil.dll
16.10.2008 05:47 6.068.736 ieframe.dll
16.10.2008 03:23 1.383.424 mshtml.tlb
30.09.2008 16:43 1.286.152 msxml4.dll
18.09.2008 06:09 3.601.464 ntkrnlpa.exe
18.09.2008 06:09 3.549.240 ntoskrnl.exe
18.09.2008 03:16 2.032.640 win32k.sys
13.09.2008 14:18 14.093 hs_err_pid1492.log
10.09.2008 04:40 1.334.272 msxml6.dll
05.09.2008 06:14 1.191.936 msxml3.dll
01.09.2008 19:10 13.129 hs_err_pid236.log

Combofix ist im Anhang

Java ist nun auch geupdatet.

Alles richtig gemacht? Wie geht's weiter?

Danke mal wieder!

Anhang: ComboFix.txt
Seitenanfang Seitenende
16.12.2008, 19:38
Moderator

Beiträge: 5694
#7 Bei Datfindbat fehlt noch folgendes Verzeichniss:
Directory of C:\WINDOWS

Bitte poste dies noch.

>>
Combofix entfernen:
Windows Taste + R drücken
Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Mach ein Onlinescan mit Bitdefender und poste das Log:
http://virus-protect.org/artikel/tools/bitdefender.html

>>
Sind die Verknüpfungen noch da?

Gruss Swiss
Seitenanfang Seitenende
17.12.2008, 16:44
Member

Themenstarter

Beiträge: 35
#8 Das gibt es doch nicht. Alles weg:-)

Hab Combofix entfernt,

der Bitdefender online Scan hätte 19 Stunden gedauert. Das war mir dann doch etwas zu lang. Werd ihn aber bei Gelegenheit mal durchlaufen lassen.

Hijackthis zeigt auch kein Promo mehr an:-)

Vielen Vielen Dank, ihr macht wirklich einen super Job!
Special Thanks natürlich an Tonstudio!

DANKE und Frohe Weihnachten
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: