Bluescreen ShutDown - Protect your safety Trojaner |
||
---|---|---|
#0
| ||
15.12.2008, 16:18
Member
Beiträge: 35 |
||
|
||
15.12.2008, 16:46
Moderator
Beiträge: 5694 |
||
|
||
15.12.2008, 16:52
Member
Beiträge: 4730 |
#3
wobei folgender Eintrag im HJT-Log schon sehr verdächtig wirkt:
O4 - HKLM\..\Run: [promo] C:\Windows\system32\promo.exe Bitte abarbeiten http://board.protecus.de/t23188.htm Nachtrag: ok, Tonstudio war etwas schneller __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
15.12.2008, 21:06
Member
Themenstarter Beiträge: 35 |
#4
Sooo,
erstmal vielen Dank für eure Antworten. Habe alles erledigt, aber nach dem letzten Restart sind die zwei Verknüpfungen (nachdem ich sie zuvor gelöscht hatte) wieder da! Hijackthis zeigt auchnoch das "promo.exe"-file an. Soll ich es im abgesicherten Modus löschen? Die Logs hab ich alle hochgeladen: www.v2007.de/mbam-log-2008-12-15%20(17-06-34).txt www.v2007.de/mbam-log-2008-12-15%20(17-05-48).txt www.v2007.de/hijackthis.txt www.v2007.de/log.txt Danke schoneinmal wieder im Voraus:-) Gruß Johannes |
|
|
||
16.12.2008, 14:39
Moderator
Beiträge: 5694 |
#5
>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden >> poste das Neue Log von Combofix >> Arbeite datfindbat ab - poste von jedem log nur die Daten der letzten drei Monate: http://www.virus-protect.org/datfindbat.html >> Dein Java ist veraltet bitte führe ein Update durch: http://board.protecus.de/t32385-1.htm Dieser Beitrag wurde am 16.12.2008 um 15:02 Uhr von Tonstudio editiert.
|
|
|
||
16.12.2008, 16:09
Member
Themenstarter Beiträge: 35 |
#6
datfinbat:
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 2418-4E25 Verzeichnis von c:\ 16.12.2008 16:06 0 dirdat.txt 16.12.2008 15:53 2.460.487.680 pagefile.sys 04.12.2008 16:55 4.096 VSNAP.IDX 14.04.2008 18:51 171.136 grldr 19.01.2008 08:45 333.203 bootmgr 07.07.2007 23:45 0 IO.SYS 07.07.2007 23:45 0 MSDOS.SYS 04.08.2004 13:00 250.032 ntldr 04.08.2004 13:00 47.564 NTDETECT.COM 9 Datei(en), 2.461.293.711 Bytes 0 Verzeichnis(se), 44.299.341.824 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 2418-4E25 Verzeichnis von C:\Windows\system32 16.12.2008 15:54 4.272 7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 16.12.2008 15:54 4.272 7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 16.12.2008 15:49 296 spsys.log 14.12.2008 20:37 598.212 perfh009.dat 14.12.2008 20:37 105.586 perfc009.dat 14.12.2008 20:37 631.708 perfh007.dat 14.12.2008 20:37 128.054 perfc007.dat 14.12.2008 20:37 1.454.568 PerfStringBackup.INI 10.12.2008 00:24 17.593.280 mrt.exe 09.12.2008 19:32 201.440 PnkBstrB.exe 11.11.2008 20:01 1.394 lvcoinst.log 06.11.2008 14:14 11.580.928 shell32.dll 04.11.2008 10:30 90.112 QuickTimeVR.qtx 04.11.2008 10:30 57.344 QuickTime.qts 03.11.2008 02:45 34 VideoConverter_sysquict.dat 01.11.2008 04:44 28.672 Apphlpdm.dll 01.11.2008 02:21 4.240.384 GameUXLegacyGDFs.dll 22.10.2008 02:22 2.048 tzres.dll 21.10.2008 06:25 296.960 gdi32.dll 16.10.2008 22:13 1.809.944 wuaueng.dll 16.10.2008 22:12 561.688 wuapi.dll 16.10.2008 22:09 51.224 wuauclt.exe 16.10.2008 22:09 43.544 wups2.dll 16.10.2008 22:08 34.328 wups.dll 16.10.2008 21:56 1.524.736 wucltux.dll 16.10.2008 21:55 83.456 wudriver.dll 16.10.2008 15:13 1.791.520 FNTCACHE.DAT 16.10.2008 14:08 162.064 wuwebv.dll 16.10.2008 13:56 31.232 wuapp.exe 16.10.2008 05:47 827.392 wininet.dll 16.10.2008 05:47 1.166.336 urlmon.dll 16.10.2008 05:47 466.944 netapi32.dll 16.10.2008 05:47 671.232 mstime.dll 16.10.2008 05:47 3.578.880 mshtml.dll 16.10.2008 05:47 28.160 jsproxy.dll 16.10.2008 05:47 270.336 iertutil.dll 16.10.2008 05:47 6.068.736 ieframe.dll 16.10.2008 03:23 1.383.424 mshtml.tlb 30.09.2008 16:43 1.286.152 msxml4.dll 18.09.2008 06:09 3.601.464 ntkrnlpa.exe 18.09.2008 06:09 3.549.240 ntoskrnl.exe 18.09.2008 03:16 2.032.640 win32k.sys 13.09.2008 14:18 14.093 hs_err_pid1492.log 10.09.2008 04:40 1.334.272 msxml6.dll 05.09.2008 06:14 1.191.936 msxml3.dll 01.09.2008 19:10 13.129 hs_err_pid236.log Combofix ist im Anhang Java ist nun auch geupdatet. Alles richtig gemacht? Wie geht's weiter? Danke mal wieder! Anhang: ComboFix.txt
|
|
|
||
16.12.2008, 19:38
Moderator
Beiträge: 5694 |
#7
Bei Datfindbat fehlt noch folgendes Verzeichniss:
Directory of C:\WINDOWS Bitte poste dies noch. >> Combofix entfernen: Windows Taste + R drücken Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Mach ein Onlinescan mit Bitdefender und poste das Log: http://virus-protect.org/artikel/tools/bitdefender.html >> Sind die Verknüpfungen noch da? Gruss Swiss |
|
|
||
17.12.2008, 16:44
Member
Themenstarter Beiträge: 35 |
#8
Das gibt es doch nicht. Alles weg:-)
Hab Combofix entfernt, der Bitdefender online Scan hätte 19 Stunden gedauert. Das war mir dann doch etwas zu lang. Werd ihn aber bei Gelegenheit mal durchlaufen lassen. Hijackthis zeigt auch kein Promo mehr an:-) Vielen Vielen Dank, ihr macht wirklich einen super Job! Special Thanks natürlich an Tonstudio! DANKE und Frohe Weihnachten |
|
|
||
Muss mich leider wieder melden.
Nach monatelanger (jahrelanger?) Abstinez jeglicher Viren hab ich mir nun doch wieder einen geholt (Wie auch immer...)
Auf dem Desktop befinden sich nun immer zwei Internetverknüpfungen: "Protect your safety"
und
"Search better than Google!" (Screenshot hängt an).
Gelegentlich (kann's leider nicht genau sagen) kommt ein Bluescreen,
der kurz von 5 runterzählt, und dann startet der PC neu. Oft passiert es beim starten von Programmen, manchmal auch einfach so.
Avira Antivir meldet sich gelegentlich, kann ihn aber nicht löschen. Im abgesicherten Modus hab ich ihn schon laufen lassen, hat was gefunden, gelöscht, hat aber nix gebracht.
Spyware Doctor hat so einiges gefunden, und gelöscht, DIESER Virus ist aber trotzdem noch da.
HiJackThis ist (glaub ich) clean, aber ist im Anhang.
Nun weiß ich leider nichtmehr wie ich vorgehen soll.
Image hab ich "von vor 8 Tagen". Wäre schade, wenn ich das benutzen muss, aber nicht extrem schlimm.
Danke schonmal für eure Unterstützung
Johannes
P.S. Ich nutze Windows Vista
Anhang: