Vermute Trojaner, Winupgro.exe, Zonealarm und HJthis nicht zu öffnen |
||
---|---|---|
#0
| ||
14.01.2009, 12:12
...neu hier
Beiträge: 10 |
||
|
||
14.01.2009, 12:17
Ehrenmitglied
Beiträge: 6028 |
||
|
||
14.01.2009, 14:06
...neu hier
Themenstarter Beiträge: 10 |
#3
Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1649 Windows 5.1.2600 Service Pack 3 14.01.2009 14:07:07 mbam-log-2009-01-14 (14-07-03).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 220500 Laufzeit: 2 hour(s), 11 minute(s), 40 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 2 Infizierte Dateien: 15 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sk9ou0s (Worm.Bagel) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sk9ou0s (Worm.Bagel) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sk9ou0s (Worm.Bagel) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\video activex solution (Trojan.Zlob) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Security Tools (Trojan.Zlob) -> No action taken. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Trojan.Agent) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\Video ActiveX Access (Trojan.Zlob) -> No action taken. C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\m (Trojan.Agent) -> No action taken. Infizierte Dateien: C:\System Volume Information\_restore{09C2C9FA-1216-47FF-8619-D1A8702FBB2A}\RP927\A0201914.sys (Worm.Bagel) -> No action taken. C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\drivers\srosa2.sys (Worm.Bagel) -> No action taken. D:\My Shared Folder\PROGRAMME\CD-DVD\Nero 6\Keygen.exe (Trojan.Agent) -> No action taken. D:\My Shared Folder\PROGRAMME\SYSTEM\Windows.Activation.Tools\Windows XP Keygenerator.exe (Trojan.Downloader) -> No action taken. E:\Programme\Adobe Acrobat v8.0 Professional Multilanguage Keymaker Zwt\Adobe.Acrobat.v8.0.Professional.Multilanguage.Keymaker.ZWT.rar\zwt\keygen.exe (Backdoor.Bot) -> No action taken. E:\von disk d\My Shared Folder\PROGRAMME\CD-DVD\Nero 6\Keygen.exe (Trojan.Agent) -> No action taken. E:\von disk d\My Shared Folder\PROGRAMME\SYSTEM\Windows.Activation.Tools\Windows XP Keygenerator.exe (Trojan.Downloader) -> No action taken. F:\Kopie DVD Sicherung\ArchiForma 2.01\ArchiForma 2.01_ (AC 9)_crk.exe (Trojan.Downloader) -> No action taken. C:\Programme\Video ActiveX Access\uninst.exe (Trojan.Zlob) -> No action taken. C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\m\data.oct (Trojan.Agent) -> No action taken. C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\m\list.oct (Trojan.Agent) -> No action taken. C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\m\srvlist.oct (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\mdelk.exe (Trojan.Spammer) -> No action taken. C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> No action taken. C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\m\flec006.exe (Trojan.Agent) -> No action taken. |
|
|
||
14.01.2009, 14:25
Ehrenmitglied
Beiträge: 6028 |
#4
Download FindyKill.exe zum Desktop(par Chiquitine29)
Nur fuer Windows XP und Vista Doppklick FindyKill.exe Klick im naechsten Fenter >”Suivant” und akzeptiere“Je suis d’accord avec les termes et conditions ci-dessus”klicke >”Suivant” Setze FindyKill unter C:\Programme , klicke “Démarrer” “FindyKill a été installé avec success” klick>Quitter” Auf dein Desktop steht jetzt eine verknüpfung Doppelklick und waehle im naechsten Fenster Option 1. “Recherche de fichiers infectieux” gib Enter Am Ende erscheint ein Log C:\FindyKill.txt poste dessen inhalt in dein naechsten Antwort __________ MfG Argus |
|
|
||
14.01.2009, 15:08
...neu hier
Themenstarter Beiträge: 10 |
#5
Winupgro musste ich über Tasmanager beenden da es den CPU auslasstet!!
----------------- FindyKill V4.711 ------------------ * User: Alexander - ALEXANDER * Executed from : C:\Programme\FindyKill * Update on 05/01/09 by Chiquitine29 * Start at 15:04:29 the 14.01.2009 * Windows XP - Internet Explorer 7.0.5730.11 ((((((((((((((((( *** Searching *** )))))))))))))))))) --------------- [ Active Processes ] ---------------- C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe C:\Programme\Saitek\Software\ProfilerU.exe C:\Programme\Saitek\Software\SaiMfd.exe C:\WINDOWS\CTHELPER.EXE C:\WINDOWS\vsnpstd3.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Microsoft ActiveSync\Wcescomm.exe C:\PROGRA~1\MICROS~4\rapimgr.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Skype\Plugin Manager\SkypePM.exe C:\WINDOWS\system32\taskmgr.exe --------------- [ Infected files / folders ] ---------------- »»»» Presence Files in C: »»»» Presence Files in C:\WINDOWS »»»» Presence Files in C:\WINDOWS\Prefetch Found ! - C:\WINDOWS\prefetch\119203.EXE-369B5DA5.pf Found ! - C:\WINDOWS\prefetch\131609.EXE-1528EF88.pf Found ! - C:\WINDOWS\prefetch\143375.EXE-19B3F98E.pf Found ! - C:\WINDOWS\prefetch\256187.EXE-002DEB5B.pf Found ! - C:\WINDOWS\prefetch\298906.EXE-183408A3.pf Found ! - C:\WINDOWS\prefetch\89843.EXE-16B6F77D.pf Found ! - C:\WINDOWS\prefetch\FLEC006.EXE-21E67F1E.pf Found ! - C:\WINDOWS\prefetch\MDELK.EXE-1D176F91.pf Found ! - C:\WINDOWS\prefetch\WINTEMS.EXE-2A563F9B.pf Found ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-101AF362.pf Found ! - C:\WINDOWS\Prefetch\KEYGEN.EXE-01AEA88A.pf Found ! - C:\WINDOWS\Prefetch\KEYGEN.EXE-023B14FD.pf Found ! - C:\WINDOWS\Prefetch\SERIAL.EXE-281BC7CB.pf Found ! - C:\WINDOWS\Prefetch\IKEYMAIN.EXE-36D3F532.pf Found ! - C:\WINDOWS\Prefetch\KEYGEN.EXE-01AEA88A.pf Found ! - C:\WINDOWS\Prefetch\KEYGEN.EXE-023B14FD.pf »»»» Presence Files in C:\WINDOWS\system32 Found ! [14.01.2009 15:00] - C:\WINDOWS\system32\mdelk.exe Found ! [14.01.2009 15:00] - C:\WINDOWS\system32\wintems.exe Found ! [14.01.2009 15:01] - C:\WINDOWS\system32\ban_list.txt »»»» Presence Files in C:\WINDOWS\system32\drivers »»»» Presence Files in C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten Found ! [14.01.2009 14:16] - "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\m\flec006.exe" Found ! [14.01.2009 14:16] - "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\m\list.oct" Found ! [14.01.2009 14:16] - "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\m\data.oct" Found ! [14.01.2009 14:16] - "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\m\srvlist.oct" Found ! [14.01.2009 15:02] - "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\m\shared" Found ! [14.01.2009 14:16] - "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\m" Found ! [14.01.2009 14:15] - "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\drivers" Found ! [14.01.2009 15:00] - "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\drivers\srosa.sys" Found ! [14.01.2009 15:00] - "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\drivers\srosa2.sys" Found ! [02.10.2006 02:09] - "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\drivers\winupgro.exe" Found ! [14.01.2009 15:01] - "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\drivers\downld" »»»» Presence Files in C:\DOKUME~1\ALEXAN~1\LOKALE~1\Temp »»»» Presence Files in C:\Dokumente und Einstellungen\Alexander\Local Settings\Temporary Internet Files\Content.IE5 Found ! [26.07.2006 18:55] - C:\files.txt Found ! [30.11.2007 00:22] - C:\Dokumente und Einstellungen\Alexander\Eigene Dateien\Battlefield 2\LogoCache\files.spieler-daten.de\dummy.txt Found ! [02.07.2006 19:47] - C:\Dokumente und Einstellungen\Alexander\Eigene Dateien\Battlefield 2\LogoCache\summer69.gaming.multiplay.co.uk\files\videos\dummy.txt Found ! [18.05.2008 13:18] - C:\Dokumente und Einstellungen\Alexander\Eigene Dateien\Battlefield 2\LogoCache\www.bilder-hochladen.net\files\dummy.txt Found ! [08.05.2006 21:29] - C:\Dokumente und Einstellungen\Alexander\Eigene Dateien\Battlefield 2\LogoCache\www.clanblitz.com\bf2\div\files\files\dummy.txt Found ! [07.02.2007 23:53] - C:\Dokumente und Einstellungen\Alexander\Eigene Dateien\Battlefield 2\LogoCache\www.eliott-ness.org\files\dummy.txt Found ! [02.07.2006 19:20] - C:\Dokumente und Einstellungen\Alexander\Eigene Dateien\Battlefield 2\LogoCache\www.filelodge.com\files\hdd2\34389\dummy.txt Found ! [30.07.2006 16:42] - C:\Dokumente und Einstellungen\Alexander\Eigene Dateien\Battlefield 2\LogoCache\www.ger-clan.com\files\dummy.txt Found ! [05.11.2008 15:40] - C:\Dokumente und Einstellungen\Alexander\Eigene Dateien\Battlefield 2\LogoCache\www.thegamemonsters.com\files\Banners\dummy.txt Found ! [18.12.2008 16:51] - C:\Dokumente und Einstellungen\Alexander\Eigene Dateien\Battlefield 2\LogoCache\www.uploadagent.de\files\1218035160\dummy.txt --------------- [ Registry / Startup ] ---------------- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run] RSD_HDDThermo=C:\Programme\HDD Thermometer\HDD Thermometer.exe ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe NVIDIA nTune="C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear Skype="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized H/PC Connection Agent="C:\Programme\Microsoft ActiveSync\Wcescomm.exe" Uniblue RegistryBooster 2009=C:\Programme\Uniblue\RegistryBooster\RegistryBooster.exe /S HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\Disabled= Start WingMan Profiler= [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run] CTSysVol=C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r AudioDrvEmulator="C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll" SunJavaUpdateSched="C:\Programme\Java\jre6\bin\jusched.exe" NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup iKeyWorks=C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe Profiler=C:\Programme\Saitek\Software\ProfilerU.exe SaiMfd=C:\Programme\Saitek\Software\SaiMfd.exe CTHelper=CTHELPER.EXE CTxfiHlp=CTXFIHLP.EXE snpstd3=C:\WINDOWS\vsnpstd3.exe nwiz=nwiz.exe /install NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit Adobe Reader Speed Launcher="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" Acrobat Assistant 8.0="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" <NO NAME>= HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\Disabled= CloneCDTray="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe QuickTime Task="C:\Programme\QuickTime\qttask.exe" -atboottime TotalRecorderScheduler="C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe" snpstd3=C:\WINDOWS\vsnpstd3.exe FreePDF Assistant=C:\Programme\FreePDF_XP\fpassist.exe HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents= <NO NAME>= HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL= Installed=1 <NO NAME>= HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI= NoChange=1 Installed=1 <NO NAME>= HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS= Installed=1 <NO NAME>= [HKEY_CURRENT_USER\software\local appwizard-generated applications\HDD Thermometer] [HKEY_CURRENT_USER\software\local appwizard-generated applications\Personal Navigation Assistant] [HKEY_CURRENT_USER\software\local appwizard-generated applications\serial] [HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro] --------------- [ Registry / Infected keys ] ---------------- Found ! - HKEY_USERS\S-1-5-21-1343024091-515967899-839522115-1003\Software\Local AppWizard-Generated Applications\serial Found ! - HKEY_USERS\S-1-5-21-1343024091-515967899-839522115-1003\Software\Local AppWizard-Generated Applications\winupgro Found ! - HKEY_USERS\S-1-5-21-1343024091-515967899-839522115-1003\Software\bisoft Found ! - HKEY_USERS\S-1-5-21-1343024091-515967899-839522115-1003\Software\DateTime4 Found ! - HKEY_USERS\S-1-5-21-1343024091-515967899-839522115-1003\Software\MuleAppData Found ! - HKEY_USERS\S-1-5-21-1343024091-515967899-839522115-1003\Software\Ubisoft Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\serial Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S Found ! - HKEY_CURRENT_USER\Software\bisoft Found ! - HKEY_CURRENT_USER\Software\DateTime4 /!\ Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1 --------------- [ States / Services ] ---------------- Missing key : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot /!\ Safe boot mode not available !! Missing key : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal /!\ Safe boot mode not available !! Missing key : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network /!\ Safe boot mode not available !! +- Services : [ Auto=2 / Request=3 / Disable=4 ] /!\ Ndisuio - Type of startup = 4 EapHost - Type of startup = 3 /!\ Ip6Fw - Type of startup = 4 /!\ SharedAccess - Type of startup = 4 /!\ wuauserv - Type of startup = 4 /!\ wscsvc - Type of startup = 4 --------------- [ Searching in removable drives ] ---------------- +- Informations : C: - Eingebautes Laufwerk D: - Eingebautes Laufwerk E: - Eingebautes Laufwerk F: - Eingebautes Laufwerk +- Presence of files : --------------- [ Registry / Mountpoint2 ] ---------------- -> Not found ! ------------------- ! End of report ! -------------------- |
|
|
||
14.01.2009, 18:25
Ehrenmitglied
Beiträge: 6028 |
#6
Starte FindyKill noch einmal und wähle:
Option 2. Suppression des fichiere Infectieux gib Enter Am Ende erscheint ein Log C:\FindyKill.txt poste dessen inhalt in dein naechsten Antwort ComboFix(by sUBs) Download ComboFix und speichert es auf den Desktop! Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein Starte combofix.exe Folge den Instruktionen in das Fenster Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Argus |
|
|
||
17.01.2009, 15:53
...neu hier
Themenstarter Beiträge: 10 |
#7
Hallo Argus,
ich habe mich entschlossen XP neu aufzusetzen. Zuletzt hatte ich das vor 4 oder 5 Jahren gemacht. so lange hats durchgehalten, war aber auch schon sehr langsam. Frage, mein Antivir erkennt dein Findykill als Trojaner. Wie kommt das? Auch verschieden Keygens werden plötzlich als Trojaner und Worms erkannt. Sind das wirklich Trojaner und Viren oder ist Antivir nur zu zimperlich? Zonealarm hat den keygen auch blockiert. Kann ich das ignorieren oder wie soll ich verfahren? Besten Dank!!!! |
|
|
||
17.01.2009, 16:11
Member
Beiträge: 3716 |
#8
1. das ist ein ehlalarm...
2. keygens etc werden nicht um sonst als viren erkannt... es sind meist auch welche... außerdem sind sie illegal und man sollte sein windows nicht mit nem keygen aktiviren... es gibt für die meiste bezahlsoftware auch gute alternativen die kostenlos sind... prüfe deine keygens das nächste mal auf virus total... |
|
|
||
17.01.2009, 17:03
...neu hier
Themenstarter Beiträge: 10 |
#9
Hallo Finder,
dank für die Info. Hätte mich auch gewundert wenn Argus mir einen Trojaner geschickt hätte. ;-) Mein Win XP ist original, keine Sorge. Aber nenn mir mal kostenlose Alternativen zu Adobe Acrobat Prof und Photoshop? Wenn du welche hast, gerne her damit! Ansonsten benutze ich auch Open Source Produkte. Die funzen gut!!! :-) |
|
|
||
18.01.2009, 01:55
Ehrenmitglied
Beiträge: 6028 |
#10
Es werden scripts benutzt die durch Virenscanner als Virus angezeigt werden
Zitat mein Antivir erkennt dein Findykill als TrojanerWenn du noch nicht neu aufgesetzt hast versuche mal Combofix Denke daran dein Virenscanner zu deaktivieren http://board.protecus.de/t23188.htm __________ MfG Argus |
|
|
||
15.02.2009, 08:42
...neu hier
Beiträge: 2 |
#11
Hallo,
bin hier neu und hatte das selbe Problem, nach anklicken einer komischen exe datei ka von wo und wie die hies hab die da gleich geschredert. (Gkaube die .exe kann bei jedem anders aussehen/heissen). Aber sonst wahr oder ist der Ursprung der winupgro.exe ein Crack/Path für das Programm für die Flugschreiber von Flugzeugen NTSB Blackbox gedacht gewesen. Infos sind nicht 100% also nicht auf mich los gehen wenn was nicht so ganz stimmt bin kein Pilot ;-) Also hatte ich danach das spielchen mit Avast..und vielem mehr.. alles hat sich wie von selbst gesteuert, also habe ich gegoogelt und weis oder denke es zumindestens zu wissen das dass kein Trojaner ist sondern ledeglich das Programm sich in die Registry eintägt und dort irgend welche mir unbekannten Sachen einstellt. Wodurch dannn ja nichts mehr richtig funktioniert,meine Lösung wahr, ich habe die Registry erst mal nach der winupgro.exe durchsucht,wer suchet der findet auch, also habe ich genauer hin geschaut, Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe" "AtiTrayTools"="\"C:\\Program Files (x86)\\Ray Adams\\ATI Tray Tools\\atitray.exe\"" "Taskbar Hide"=";C:\\PROGRA~2\\TASKBA~1\\TaskBar.exe -Start" "Taskbar Manager"="C:\\Program Files (x86)\\#####\\Taskbar Manager\\TaskbarManager.exe" "drvsyskit"="C:\\Documents and Settings\\Administrator\\Application Data\\drivers\\winupgro.exe" "GizmoDriveDelegate"="RUNDLL32.EXE C:\\PROGRA~2\\GIZMO\\GDRIVE.DLL,Remount_Startup_Images" und das habe ich gefunden,also habe ich das entfernt und nach denen restlichen winupgro.exe gesucht und entfernt,natürlich auch mal die komplette Platte nach der winupgro.exe durchsuchen und entfernen aber nur alle die den namen winupgro.exe haben weil in den Unterordner die normalen Driver/Treiber sind also Vorischt!!Neu starten und das wars schon,hoff ich hab nix vergessen. Übrigens Gute Seite,hab mich nur erstma angemeldet wegen dem ungelösten Problem hier, oder seh ich das falsch und es wahr schon gelöst? MfG CPMA-Quaker Dieser Beitrag wurde am 15.02.2009 um 08:49 Uhr von QuQaX editiert.
|
|
|
||
15.02.2009, 11:28
Moderator
Beiträge: 5694 |
#12
Hallo Quqax
Um sicher zu gehen dass alles weg ist, was ich bezweifle, da Du nur in der Registry gelöscht hast, mache folgendes: >> Lösche die temp Dateien mit CCleaner >> Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log: (Vor der Anwendung Update nicht vergessen) http://virus-protect.org/artikel/tools/malwarebytes.html >> Erstelle ein HiJACKThis Log und poste es hier: http://virus-protect.org/hjtkurz.html Gruss Swiss |
|
|
||
19.02.2009, 14:34
...neu hier
Beiträge: 2 |
#13
Ist ein 64Bit Processor
mit Win XP Pro 64Bit,hier meine log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:21:09, on 19.02.2009 Platform: Windows 2003 SP2 (WinNT 5.02.3790) MSIE: Internet Explorer v6.00 SP2 (6.00.3790.1830) Boot mode: Normal Running processes: C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files (x86)\Common Files\InterVideo\DeviceService\DevSvc.exe C:\Program Files (x86)\Gizmo\gservice.exe C:\Program Files (x86)\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Program Files (x86)\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\Program Files (x86)\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe C:\Program Files (x86)\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\WINDOWS\SysWOW64\ctfmon.exe C:\Program Files (x86)\Launcher\Launcher.exe C:\Program Files (x86)\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files (x86)\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 221.xxx.xxx.xxx:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Steganos Password Manager AutoFill - {1427A821-7B93-4F08-9A34-9FA03A3D93DB} - C:\Program Files (x86)\Steganos Privacy Suite 2008\PasswordManagerBHO.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files (x86)\FlashGet\jccatch.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-.........A} - C:\Program Files (x86)\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: GetRight IE Helper - {31FF080D-12A3-439A-A2EF-........} - C:\Program Files (x86)\GetRight\xx2gr.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-.........} - C:\Program Files (x86)\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-.......} - C:\PROGRA~2\DOWNLO~1\dmiehlp.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-....} - C:\Program Files (x86)\FlashGet\getflash.dll O3 - Toolbar: &Linkman - {5C9DCA26-CEC4-4280-A831-...........} - C:\PROGRA~2\Linkman\LINKMA~1.DLL O4 - HKLM\..\Run: [nTrayFw] "C:\Program Files (x86)\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Download with GetRight - C:\Program Files (x86)\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files (x86)\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-........} - C:\Program Files (x86)\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-..........} - C:\Program Files (x86)\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-.......} - C:\Program Files (x86)\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files (x86)\FlashGet\FlashGet.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-.........2} - C:\WINDOWS\SysWOW64\shdocvw.dll O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-...............} - C:\WINDOWS\SysWOW64\shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-............} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-.........} - C:\Program Files\Messenger\msmsgs.exe O15 - ESC Trusted Zone: http://runonce.msn.com O16 - DPF: {6414512B-B978-451D-A0D8-.........} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232763648640 O17 - HKLM\System\CCS\Services\Tcpip\..\{2E093948-68F4-4EF3-B1E3-.........}: NameServer = 62.xxx.xxx.6 213.xxx.92.xx O18 - Protocol: bw+0 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw+0s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw-0 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw-0s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw00 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw00s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw10 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw10s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw20 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw20s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw30 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw30s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw40 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw40s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw50 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw50s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw60 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw60s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw70 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw70s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw80 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw80s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw90 - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bw90s - {3C0E0F28-529E-4A72-965E-..........................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwa0 - {3C0E0F28-529E-4A72-965E-...............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwa0s - {3C0E0F28-529E-4A72-965E-...............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwb0 - {3C0E0F28-529E-4A72-965E-............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwb0s - {3C0E0F28-529E-4A72-965E-............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwc0 - {3C0E0F28-529E-4A72-965E-.............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwc0s - {3C0E0F28-529E-4A72-965E-...........} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwd0 - {3C0E0F28-529E-4A72-965E-..............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwd0s - {3C0E0F28-529E-4A72-965E-..............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwe0 - {3C0E0F28-529E-4A72-965E-..................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwe0s - {3C0E0F28-529E-4A72-965E-................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwf0 - {3C0E0F28-529E-4A72-965E-................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwf0s - {3C0E0F28-529E-4A72-965E-..............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O18 - Protocol: bwg0 - {3C0E0F28-529E-4A72-965E-............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwg0s - {3C0E0F28-529E-4A72-965E-.............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwh0 - {3C0E0F28-529E-4A72-965E-..............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwh0s - {3C0E0F28-529E-4A72-965E-...............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwi0 - {3C0E0F28-529E-4A72-965E-..............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwi0s - {3C0E0F28-529E-4A72-965E-...............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwj0 - {3C0E0F28-529E-4A72-965E-.............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwj0s - {3C0E0F28-529E-4A72-965E-..............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwk0 - {3C0E0F28-529E-4A72-965E-...............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwk0s - {3C0E0F28-529E-4A72-965E-................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwl0 - {3C0E0F28-529E-4A72-965E-................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwl0s - {3C0E0F28-529E-4A72-965E-.................A} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwm0 - {3C0E0F28-529E-4A72-965E-...............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwm0s - {3C0E0F28-529E-4A72-965E-................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwn0 - {3C0E0F28-529E-4A72-965E-................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwn0s - {3C0E0F28-529E-4A72-965E-..........} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwo0 - {3C0E0F28-529E-4A72-965E-.............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwo0s - {3C0E0F28-529E-4A72-965E-................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwp0 - {3C0E0F28-529E-4A72-965E-................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwp0s - {3C0E0F28-529E-4A72-965E-.............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwq0 - {3C0E0F28-529E-4A72-965E-.........} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwq0s - {3C0E0F28-529E-4A72-965E-.............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwr0 - {3C0E0F28-529E-4A72-965E-...........} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwr0s - {3C0E0F28-529E-4A72-965E-.............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bws0 - {3C0E0F28-529E-4A72-965E-...........} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bws0s - {3C0E0F28-529E-4A72-965E-...............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwt0 - {3C0E0F28-529E-4A72-965E-..............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwt0s - {3C0E0F28-529E-4A72-965E-...........} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwu0 - {3C0E0F28-529E-4A72-965E-.........} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwu0s - {3C0E0F28-529E-4A72-965E-.........} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwv0 - {3C0E0F28-529E-4A72-965E-..............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwv0s - {3C0E0F28-529E-4A72-965E-..................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bww0 - {3C0E0F28-529E-4A72-965E-.................} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bww0s - {3C0E0F28-529E-4A72-965E-..............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwx0 - {3C0E0F28-529E-4A72-965E-.............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwx0s - {3C0E0F28-529E-4A72-965E-............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwy0 - {3C0E0F28-529E-4A72-965E-............} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwy0s - {3C0E0F28-529E-4A72-965E-...........} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwz0 - {3C0E0F28-529E-4A72-965E-.........} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: bwz0s - {3C0E0F28-529E-4A72-965E-........} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: offline-8876480 - {3C0E0F28-529E-4A72-965E-.........} - C:\Program Files (x86)\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-........} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files (x86)\Common Files\InterVideo\DeviceService\DevSvc.exe O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe (file missing) O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files (x86)\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files (x86)\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: Gizmo Central - Arainia Solutions - C:\Program Files (x86)\Gizmo\gservice.exe O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing) O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\system32\msdtc.exe (file missing) O23 - Service: Net Logon (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing) O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files (x86)\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files (x86)\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NT LM Security Support Provider (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing) O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing) O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: IPSEC Services (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing) O23 - Service: Protected Storage (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing) O23 - Service: Security Accounts Manager (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing) O23 - Service: ServiceLayer - Nokia. - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - Unknown owner - C:\WINDOWS\System32\TuneUpDefragService.exe (file missing) O23 - Service: Virtual Disk Service (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing) O23 - Service: Volume Shadow Copy (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe (file missing) O23 - Service: WMI Performance Adapter (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe (file missing) -- End of file - 21929 bytes Malwarebytes' Anti-Malware 1.34 Database version: 1778 Windows 5.2.3790 Service Pack 2 19.02.2009 12:12:28 mbam-log-2009-02-19 (12-12-28).txt Scan type: Quick Scan Objects scanned: 60944 Time elapsed: 3 minute(s), 58 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) :-) MFG QuQaX |
|
|
||
30.05.2009, 23:06
...neu hier
Beiträge: 1 |
#14
Hallo Malwarebuster!
Das Problem ist zwar schon paar Tage alt, aber immer noch aktuell! Vor 2 tagen hab ich mir ebenfalls Srosa2 eingefangen! Die Indizien sind.... Der PC macht während der Installation dieser Wanze einen ungewollten Neustart... anschließend funktioniert keine Sicherheitssoftware mehr.... ZoneAlarm ist zerstört, Avast startet nicht mehr und behauptet nach einer erneuten installation keine zulässige win32 Anwendung zu sein, SpywareDoctor ist eingefroren und muss später auch neu aufgesetzt werden.. Kein Start im abgesicherten Modus mehr möglich.. Anhand einer Suche nach dem timestamp werdet ihr in Dokumente und Einstellungen unter dem vor der Katastrophe benutzen Namen in Anwendungsdaten einen neuen Ordner "Drivers" finden C:\Dokumente und Einstellungen\Name\Anwendungsdaten\drivers\srosa.sys" "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\drivers\srosa2.sys" "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\drivers\winupgro.exe" "C:\Dokumente und Einstellungen\Name\Anwendungsdaten\drivers\downld" der, auch wenn es euch gelingt, sie mit einer anderen intakten Windowsinstallation oder RettungsCD zu löschen, beim ersten Neustart der befallenen Platte wieder da ist... Also die Theorie... die Mutter dieser Wanze ist nicht direkt auf der Platte, sondern im Masterbootrecord installiert worden, was auch den spontanen Neustart nach dem Entpacken erklärt der keinen Scanner Zeit zum reagieren gegeben hat! Also hab ich meine 2.Platte abgeklemmt und dann FixMBR mit der Wiederherstellungskonsole auf der Windows CD durchgeführt... Den Partitionen ist dabei nichts passiert.. Avast ließ sich wieder Installieren und hat auch grad beim Scann die oA Infektionen durch Srosa angezeigt.. Enfernung war aber nicht vollständig möglich... dazu kam noch eine Infektion in der "Hyperfile.sys" die Avast aber löschen konnte ... also.. booten von der 2.platte und von dort aus scannen... 116 Infektionen !!! davon 92 Beagle Downloader!!! die müssen vorher alle noch unter einer Tarnkappe gewesen sein... Ich hoffe es hilft evtl. weiter.... Eine Frage hab ich noch... Weis jemand ob die Partitionen noch OK sind wenn ich den MBR mit S0Kill lösche, überschreibe und danach Fixmbr durchführe?... bisher hab ich s0kill nur verwendet bei platten die sowiso neu aufzusetzen waren. Ciao... wisper Dieser Beitrag wurde am 31.05.2009 um 12:21 Uhr von wisper editiert.
|
|
|
||
Ich habe mir wohl etwas eingefangen.
Ich habe in meinem Taskmanager winupgro.exe gefunden, laut Google Recherche
ein Vundo Trojaner.
Problem, ich kann HJThis und Zonealarm nicht starten. Fehlermeldung mit dem Hinweis das es kein win32 ist erscheint.
Ausserdem öffnet sich beim Neustart ein Fenster das sich NTSB Blackbox nennt.
Im Moment lasse ich Malwarebytes durchlaufen. Ich hatte folgenden Link gefunden: http://www.xdelbox.com/how-to-remove-winupgro-or-winupgroexe/
Was soll ich machen, wie gehts weiter.
Bitte helft mir!
Besten DANK!!!!