Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.Gen entfernen |
||
---|---|---|
#0
| ||
02.04.2009, 18:54
...neu hier
Beiträge: 9 |
||
|
||
02.04.2009, 23:16
Moderator
Beiträge: 5694 |
#2
DAS GEHT GAR NICHT:
Zitat Crack + Patch\Sacred 2 CrackBitte lass die Finger davon. Genau so schleust du diese Malware ein. Gemäss Malwarebytes ist es der CONFICKER. >> Mach mal folgenden Test und berichte: http://www.heise.de/security/dienste/browsercheck/tests/conficker/conficker.shtml >> Wende Combofix an und poste das Log: http://www.virus-protect.org/artikel/tools/combofix.html Gruss Swiss |
|
|
||
03.04.2009, 14:28
...neu hier
Themenstarter Beiträge: 9 |
#3
Die Festplatte gehört nicht mir, infiziert hat sie mich trotzdem. Is aber wohl auch egal...
Der Test zeigt ne normale Darstellung. Das Combofixlog: Zitat ComboFix 09-04-01.01 - Admin 2009-04-03 13:57:08.1 - NTFSx86Mit dem Log kann ich so gar nichts anfangen... Mich wundern nur die einträge von Programmen die eigentlich nicht mehr da sind(Sacred2 Demo und Loki) |
|
|
||
03.04.2009, 15:48
Moderator
Beiträge: 5694 |
#4
>>
Combofix entfernen: Windows Taste + R drücken Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) >> Also gehe ich davon aus, dass DU Loki nicht mehr benötigst: Ist es dann auch nicht mehr unter Start --> Systemsteuerung --> Software drin? So dass DU es da löschen könntest? Dürfte sich hier befinden: d:\games\Loki >> Ich nehme an, dass Du die externe Festplatte nicht mehr anhängst?? >> Scanne mit Cureit und poste das Log: http://board.protecus.de/t29350.htm >> Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind) Zitat O23 - Service: Loki Drivers Auto Removal (pr2agqwc) (pr2agqwc) - Cyanide - C:\Windows\system32\pr2agqwc.exeund wähle fix checked. Starte den Rechner neu. >> Poste ein neues HJT Log. GRUSS sWIss |
|
|
||
03.04.2009, 16:18
...neu hier
Themenstarter Beiträge: 9 |
#5
Combofix entfernt
den Loki Ordner hab ich gelöscht und den Eintrag mit Hijack This entfernt Cureit download ist extrem langsam ich such grad nen alternativ dl Logs folgen wenn ich Cureit habe *edit* da Cure It sich nicht selbst aktualisiert lad ich es von drweb direkt(um wirklich die aktuellste zu haben), dauert aber 1 std da ich nur 3k hin kriege :/ *edit²* n vorläufiges Hijack This Log Cure It ist noch NICHT drüber gelaufen Zitat Logfile of Trend Micro HijackThis v2.0.2 Dieser Beitrag wurde am 03.04.2009 um 16:30 Uhr von Clayman editiert.
|
|
|
||
03.04.2009, 16:41
Moderator
Beiträge: 5694 |
#6
Nach dem Scan mit DR Web mach folgendes:
ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren Gruss Swiss |
|
|
||
03.04.2009, 20:14
...neu hier
Themenstarter Beiträge: 9 |
#7
Hi Swiss,
Danke soweit schonmal für deine Hilfe, leider reicht meine Zeit heute nicht mehr für einen kompletten Scan mit Cure It. Da ich übers Wochenende nicht da bin hoffe ich einfach das du mir nächste Woche weiter hilfst alles zu entfernen. Ich wünsche ein schönes und erholsames Frühlingswochenende Gruß cly |
|
|
||
03.04.2009, 20:21
Moderator
Beiträge: 5694 |
||
|
||
05.04.2009, 09:01
...neu hier
Beiträge: 1 |
#9
Ich habe auch folgendes Problem mein Antivir zeigt auch andauernd folgendes an
TR/Proxy.Agent.BBQ.38 TR/Crypt.XPACK.Gen an Antivir habe ich durchlaufen lassen hier der REport Avira AntiVir Personal Erstellungsdatum der Reportdatei: Samstag, 4. April 2009 21:48 Es wird nach 1339172 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows Vista Windowsversion: (Service Pack 1) [6.0.6001] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: RAYMAN-PC Versionsinformationen: BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 17:24:41 AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 18:22:16 LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 18:22:16 LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 18:22:16 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 15:50:56 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 17:33:30 ANTIVIR2.VDF : 7.1.3.0 1330176 Bytes 01.04.2009 16:33:16 ANTIVIR3.VDF : 7.1.3.13 57344 Bytes 03.04.2009 16:31:08 Engineversion : 8.2.0.138 AEVDF.DLL : 8.1.1.0 106868 Bytes 31.01.2009 17:30:50 AESCRIPT.DLL : 8.1.1.73 373114 Bytes 04.04.2009 16:31:14 AESCN.DLL : 8.1.1.10 127348 Bytes 04.04.2009 16:31:14 AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 17:24:41 AEPACK.DLL : 8.1.3.12 397687 Bytes 04.04.2009 16:31:13 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27.02.2009 17:30:23 AEHEUR.DLL : 8.1.0.114 1700214 Bytes 04.04.2009 16:31:13 AEHELP.DLL : 8.1.2.2 119158 Bytes 27.02.2009 17:30:21 AEGEN.DLL : 8.1.1.33 340340 Bytes 04.04.2009 16:31:12 AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 09:16:11 AECORE.DLL : 8.1.6.7 176502 Bytes 04.04.2009 16:31:11 AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 09:16:10 AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 18:22:16 AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 18:22:16 AVREP.DLL : 8.0.0.2 98344 Bytes 01.08.2008 05:29:42 AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 18:22:16 AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 17:21:50 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 18:22:16 SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 17:21:50 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 18:22:16 NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 17:21:50 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 18:22:14 RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 18:22:14 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\program files\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Samstag, 4. April 2009 21:48 Der Suchlauf nach versteckten Objekten wird begonnen. c:\windows\system32\ovfsthqbcsvleixvmysnykqfivrbdbqdukxytf.dll [INFO] Die Datei ist nicht sichtbar. [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a3dbb2f.qua erstellt ( QUARANTÄNE ) c:\windows\system32\ovfsthvrrwvuuqpiicdlbqokbftxkfdcninoyq.dll [INFO] Die Datei ist nicht sichtbar. [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [INFO] Es konnte kein SpecVir-Eintrag gefunden werden! [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a3dbb30.qua erstellt ( QUARANTÄNE ) c:\windows\system32\ovfsthweujujcrvqrdwuguxqolvrnvbkxhqraq.dat [INFO] Die Datei ist nicht sichtbar. [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a3dbb31.qua erstellt ( QUARANTÄNE ) c:\windows\system32\ovfsthwjtvqctwppiqpcsphkdtybbxkwkaprfo.dll [INFO] Die Datei ist nicht sichtbar. [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [INFO] Es konnte kein SpecVir-Eintrag gefunden werden! [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a3dbb32.qua erstellt ( QUARANTÄNE ) c:\windows\system32\ovfsthyosiiirxirrumgmxtmsxpctbsepppxwr.dat [INFO] Die Datei ist nicht sichtbar. [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a3dbb33.qua erstellt ( QUARANTÄNE ) c:\windows\system32\drivers\ovfsth.sys [INFO] Die Datei ist nicht sichtbar. [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a3dbb34.qua erstellt ( QUARANTÄNE ) c:\windows\system32\drivers\ovfsthceocvwitfxbcoqwpnekakcsppydxtshl.sys [INFO] Die Datei ist nicht sichtbar. [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a3dbb35.qua erstellt ( QUARANTÄNE ) c:\windows\temp\ovfsthkeivpgpdnl.tmp [INFO] Die Datei ist nicht sichtbar. [FUND] Ist das Trojanische Pferd TR/Proxy.Agent.BBQ.38 [INFO] Es konnte kein SpecVir-Eintrag gefunden werden! [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a3dbb36.qua erstellt ( QUARANTÄNE ) c:\windows\temp\ovfsthrmwoemttec.tmp [INFO] Die Datei ist nicht sichtbar. [FUND] Ist das Trojanische Pferd TR/Proxy.Agent.BBQ.38 [INFO] Es konnte kein SpecVir-Eintrag gefunden werden! [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4a3dbb37.qua erstellt ( QUARANTÄNE ) \systemroot\system32\drivers\ovfsthceocvwitfxbcoqwpnekakcsppydxtshl.sys [INFO] Der Registrierungseintrag ist nicht sichtbar. [WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden. [WARNUNG] Fehler in der ARK Lib HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ovfsthmopjtuxfvxdxetbedsmiraixnxeumobn [INFO] Der Registrierungseintrag ist nicht sichtbar. Es wurden '112941' Objekte überprüft, '11' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'WLLoginProxy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ieuser.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'shellmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehrecvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'VXUpdateService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TestHandler.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sp_rsser.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'bgsvcgen.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AOLacsd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'waol.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'STRAY.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Domino.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vmsnap3.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'aolsoftware.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '72' Prozesse mit '72' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '44' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <SYSTEM> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Program Files\HP\Digital Imaging\{C916D86C-AB76-49c7-B0E4-A946E0FD9BC2}\aio_cdb_productcontext1031.cab [0] Archivtyp: CAB (Microsoft) --> product.dll3.4A2692E9_8682_4A9C_8633_128BFD124D18 [WARNUNG] Die Datei konnte nicht geschrieben werden! --> product.dll3.0C8AAA4E_4C92_4E61_9E2B_AF8C39E6F01D [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\Users\Rayman\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\2W2N6F9J\count[1].htm [FUND] Enthält verdächtigen Code: HEUR/HTML.Malware [HINWEIS] Der Fund wurde als verdächtig eingestuft. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4cde62.qua' verschoben! C:\Windows\Temp\setBA74.tmp [0] Archivtyp: NSIS --> [UnknownDir]/PB_N_FisherHut01.dds [WARNUNG] Die Datei konnte nicht geschrieben werden! Beginne mit der Suche in 'D:\' <DATA> Ende des Suchlaufs: Sonntag, 5. April 2009 00:52 Benötigte Zeit: 3:04:09 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 24662 Verzeichnisse wurden überprüft 1082337 Dateien wurden geprüft 4 Viren bzw. unerwünschte Programme wurden gefunden 1 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 10 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 1082330 Dateien ohne Befall 4538 Archive wurden durchsucht 6 Warnungen 10 Hinweise 112941 Objekte wurden beim Rootkitscan durchsucht 11 Versteckte Objekte wurden gefunden hier die Auswertung von HijackThis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:41:32, on 05.04.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\RtHDVCpl.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Common Files\aol\1177702967\ee\aolsoftware.exe C:\Program Files\HP\HP Software Update\hpwuSchd2.exe C:\Program Files\QuickTime\qttask.exe C:\Windows\vmsnap3.exe C:\Windows\System32\rundll32.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Windows\ehome\ehtray.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\STAMPIT\Binary\STRAY.EXE C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Windows\system32\wbem\unsecapp.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\Windows\helppane.exe C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Windows\system32\Macromed\Flash\FlashUtil9f.exe C:\Program Files\Internet Explorer\ieuser.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\AOL 9.0 VRa\waol.exe C:\Program Files\AOL 9.0 VRa\shellmon.exe C:\Program Files\Common Files\AOL\Topspeed\3.0\aoltpsd3.exe C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Windows\system32\DllHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*http://de.search.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=38831 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://de.search.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*http://de.search.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://de.search.yahoo.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O1 - Hosts: ::1 localhost O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [HostManager] C:\Program Files\Common Files\AOL\1177702967\ee\AOLSoftware.exe O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [BigDog303] C:\Windows\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH) O4 - HKLM\..\Run: [VMSnap3] C:\Windows\VMSnap3.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [igndlm.exe] C:\Program Files\Download Manager\DLM.exe /windowsstart /startifwork O4 - HKCU\..\Run: [STAMPIT-Tray] C:\Program Files\STAMPIT\Binary\Stray.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - c:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O13 - Gopher Prefix: O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070501/qtinstall.info.apple.com/qtactivex/qtplugin.cab O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.de/SnapfishActivia.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: haufereader - (no CLSID) - (no file) O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\Windows\system32\bgsvcgen.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Haufe iDesk-Service in C:\Program Files\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Program Files\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe O23 - Service: VXUpdateService - camPoint AG - C:\Program Files\VX-Software2008\VXUpdateService.exe -- End of file - 9219 bytes wie bekomme ich die TRojaner vom Rechner,habe auch schon diverse Programme versucht nichts klappt,noch ein Problem jedes mal wenn ich den Rechner neustarte wurde das Sicherheitscenter deaktiviert,muss es jedesmal in der Systemsteuerung neu einstellen. Über Hilfe währe ich dankbar... Dieser Beitrag wurde am 05.04.2009 um 10:48 Uhr von Rayman2910 editiert.
|
|
|
||
05.04.2009, 13:06
Moderator
Beiträge: 5694 |
#10
@Rayman2910
Bitte eröffne einen eigenen Thread und führe folgendes durch: >> Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log: (Vor der Anwendung Update nicht vergessen) http://virus-protect.org/artikel/tools/malwarebytes.html >> Wende Combofix an und poste das Log: http://www.virus-protect.org/artikel/tools/combofix.html >> Erstelle ein HiJACKThis Log und poste es hier: http://virus-protect.org/hjtkurz.html Gruss Swss |
|
|
||
06.04.2009, 16:15
...neu hier
Themenstarter Beiträge: 9 |
#11
okay ich hol den thread dann mal wieder aus der versenkung
Combofix /u hat (unter Vista) nicht funktioniert - es kam keine fehlermeldung, aber auch keine bestätigung das es entfernt wurde. Das Verzeichnis QooBox hab ich entfernt, allerdings ist da noch ein Verzeichnis C:\Combofix, darf/soll ich das auch entfernen? als nächstes lass ich nun CureIt im abgesicherten laufen und danach Hijack This und ServiceFilter und poste logs. bis in 3h also |
|
|
||
06.04.2009, 16:25
Member
Beiträge: 3716 |
#12
wo ist wo sind denn die ganzen logs
|
|
|
||
06.04.2009, 20:36
...neu hier
Themenstarter Beiträge: 9 |
#13
waaaaaaah nach über 4h scan hat meine freundin das programm geschlossen
gefunden hatte Cure It jedoch nichts brauchst du das log unbedingt? :/ dann scan ich übernacht nochmal Service Filter ist nur für XP das geht bei meinem Vista nicht hier das neue Hijack This Log: Zitat Logfile of Trend Micro HijackThis v2.0.2 |
|
|
||
07.04.2009, 11:55
Moderator
Beiträge: 5694 |
#14
Der Service von LOKI ist weg, Hast du noch Probleme?
>> Mach noch ein Onlinescan mit Bitdefender und poste das Log: http://virus-protect.org/artikel/tools/bitdefender.html Gruss Swiss |
|
|
||
07.04.2009, 17:42
...neu hier
Themenstarter Beiträge: 9 |
#15
Hi Swiss
Probleme habe ich keine mehr. BitDefender will für den Scan 30 Stunden(tendenz steigend, seit 6 minuten), das ist mir dann doch etwas zu lang Ich würde mich auf Malewarebytes verlassen und behaupten alles ist entfernt, oder bist du anderer Meinung? Gruß cly |
|
|
||
gefunden und ich möchte ihn entfernen.
Auszug aus dem Log von Antivir:
Zitat
G und H ist eine externe Festplatte.Temporäre Dateien habe ich danach beseitigt, wie befohlen
Der Scan mit Malewarebytes ergab folgendes:
Zitat
Der zweite scan ergab keinen Fund.HijackThis Log:
Zitat
Uninstall List:Zitat
Ist das Zeug nun entfernt oder muss ich noch was tun?Danke schonmal für die Hilfe