Verdacht auf TR/Swizzor |
||
|---|---|---|
| #0
| ||
|
27.05.2009, 16:31
...neu hier
Beiträge: 6 |
||
 
|
|
|
|
27.05.2009, 16:39
Member
Beiträge: 3716 |
||
|
|
|
|
|
28.05.2009, 11:59
...neu hier
Themenstarter Beiträge: 6 |
#3
Danke für die prompte Antwort.
Die Logs (4 Textdateien) der vorgeschlagenen Vorarbeit sind der Übersichtlichkeit halber im angehängten Zip-Ordner. Erwarte gerne weiteres Vorgehen zur Abhilfe. mfg ufr Anhang: Vorarbeit ufr.zip
|
|
|
|
|
|
|
28.05.2009, 13:53
Member
Beiträge: 202 |
#4
mache einen Scan mit Malwarebytes
-> “Update“> “Suche nach Aktualisierungen“ -> “Einstellungen“> “Beende Internet Explorer während des Löschvorgangs“ -> “Scanner”> "Quickscan durchfuehren". Wenn am Ende Infizierungen gefunden werden, diese anhaken und entfernen lassen. Starte dein Rechner neu Du hast gefundenes nicht löschen lassen bitte nocheinmal durchführen und das Log posten Auch ein suchlauf mit Antivire wie hier beschrieben solltest du durchführen http://board.protecus.de/t23979.htm Lasse aber noch nichts löschen sondern poste nur das Loffile Dieser Beitrag wurde am 28.05.2009 um 13:58 Uhr von Audipower editiert.
|
|
|
|
|
|
|
28.05.2009, 16:09
...neu hier
Themenstarter Beiträge: 6 |
#5
Habe Malwarebytes nochmal scannen lassen, hat nichts mehr gefunden.
Die in Quarantäne befindlichen Dateien habe ich gelöscht. Logfile: Malwarebytes' Anti-Malware 1.37 Datenbank Version: 2187 Windows 5.1.2600 Service Pack 3 28.05.2009 14:52:34 mbam-log-2009-05-28 (14-52-34).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 89922 Laufzeit: 2 minute(s), 53 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Der Suchdurchlauf mit den optimierten Antivir Einstellungen hat 15 Viren gefunden. Diese habe ich noch in Quarantäne belassen. Report: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Donnerstag, 28. Mai 2009 15:03 Es wird nach 1431723 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: DESKTOP-PC Versionsinformationen: BUILD.DAT : 8.2.0.353 17048 Bytes 15.05.2009 12:02:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 11:24:06 AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 17:23:43 LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 17:23:44 LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 17:23:44 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:40:11 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 08:07:47 ANTIVIR2.VDF : 7.1.4.0 2336768 Bytes 20.05.2009 18:59:19 ANTIVIR3.VDF : 7.1.4.30 275968 Bytes 28.05.2009 10:06:29 Engineversion : 8.2.0.180 AEVDF.DLL : 8.1.1.1 106868 Bytes 01.05.2009 07:32:25 AESCRIPT.DLL : 8.1.2.0 389497 Bytes 16.05.2009 11:12:48 AESCN.DLL : 8.1.2.3 127347 Bytes 16.05.2009 11:12:48 AERDL.DLL : 8.1.1.3 438645 Bytes 06.11.2008 10:35:50 AEPACK.DLL : 8.1.3.18 401783 Bytes 28.05.2009 10:06:30 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 27.02.2009 08:16:34 AEHEUR.DLL : 8.1.0.129 1761655 Bytes 16.05.2009 11:12:47 AEHELP.DLL : 8.1.2.2 119158 Bytes 27.02.2009 08:16:32 AEGEN.DLL : 8.1.1.44 348532 Bytes 16.05.2009 11:12:46 AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 13:02:58 AECORE.DLL : 8.1.6.12 180599 Bytes 28.05.2009 10:06:29 AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 13:02:57 AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 17:23:43 AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 17:23:43 AVREP.DLL : 8.0.0.3 155688 Bytes 21.04.2009 05:28:40 AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 17:23:43 AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 16:34:28 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 17:23:43 SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 16:34:29 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 17:23:44 NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 16:34:29 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 17:23:42 RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 17:23:42 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, F:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Donnerstag, 28. Mai 2009 15:03 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vspdfprsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FRITZWLanMini.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMax4PNP.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CDAC11BA.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'eEBSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '32' Prozesse mit '32' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '52' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Christoph\Desktop\Christoph Desktop Desktop-PC\Christoph\Bilder und Zeug\Bilder\Verschiedene Bilder\Bilder Weiber\Zeugs\Bild-Ordner\Bilder\auf_i_gefunden\Frust.exe [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Stressreducer [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a938c92.qua' verschoben! C:\Dokumente und Einstellungen\Christoph\Desktop\Christoph Desktop Desktop-PC\Christoph\Bilder und Zeug\Bilder\Verschiedene Bilder\Bilder Weiber\Zeugs\Bild-Ordner\Bilder\auf_i_gefunden\Tempo\alles.zip [0] Archivtyp: ZIP --> MARRIAGE1.exe [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Hochzeit [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a8a8c91.qua' verschoben! C:\Dokumente und Einstellungen\Christoph\Desktop\Christoph Desktop Desktop-PC\Christoph\Bilder und Zeug\Bilder\Verschiedene Bilder\Bilder Weiber\Zeugs\Bild-Ordner\Bilder\auf_i_gefunden\Tempo\MARRIAGE1.exe [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Hochzeit [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a708c6a.qua' verschoben! C:\Dokumente und Einstellungen\Christoph\Desktop\Christoph Desktop Desktop-PC\Christoph\Bilder und Zeug\Bilder\Verschiedene Bilder\Bilder Weiber\Zeugs\Bild-Ordner\Bilder\joke\Frust.zip [0] Archivtyp: ZIP --> Frust.exe [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Stressreducer [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a938ca3.qua' verschoben! C:\Dokumente und Einstellungen\Christoph\Desktop\Christoph Desktop Desktop-PC\Christoph\Bilder und Zeug\Bilder\Verschiedene Bilder\Bilder Weiber\Zeugs\Bild-Ordner\Bilder\joke\Werner.exe [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/SmallPen.B [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a908c9d.qua' verschoben! C:\System Volume Information\_restore{EF06EAE7-D44C-446B-87F5-86FB05FE94A1}\RP1115\A0154188.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4f95f7.qua' verschoben! C:\System Volume Information\_restore{EF06EAE7-D44C-446B-87F5-86FB05FE94A1}\RP1115\A0154189.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4f95fb.qua' verschoben! C:\System Volume Information\_restore{EF06EAE7-D44C-446B-87F5-86FB05FE94A1}\RP1115\A0154190.sys [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4f95fe.qua' verschoben! C:\System Volume Information\_restore{EF06EAE7-D44C-446B-87F5-86FB05FE94A1}\RP1115\A0154191.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4f9601.qua' verschoben! C:\System Volume Information\_restore{EF06EAE7-D44C-446B-87F5-86FB05FE94A1}\RP1115\A0154192.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4f9604.qua' verschoben! C:\System Volume Information\_restore{EF06EAE7-D44C-446B-87F5-86FB05FE94A1}\RP1115\A0154194.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4f9607.qua' verschoben! C:\System Volume Information\_restore{EF06EAE7-D44C-446B-87F5-86FB05FE94A1}\RP1115\A0154195.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4f9609.qua' verschoben! C:\System Volume Information\_restore{EF06EAE7-D44C-446B-87F5-86FB05FE94A1}\RP1115\A0154339.exe [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Stressreducer [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4f9610.qua' verschoben! C:\System Volume Information\_restore{EF06EAE7-D44C-446B-87F5-86FB05FE94A1}\RP1115\A0154340.exe [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/Hochzeit [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4f9613.qua' verschoben! C:\System Volume Information\_restore{EF06EAE7-D44C-446B-87F5-86FB05FE94A1}\RP1115\A0154341.exe [FUND] Enthält Erkennungsmuster des Scherzprogrammes JOKE/SmallPen.B [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a4f9616.qua' verschoben! Beginne mit der Suche in 'F:\' <Daten> Ende des Suchlaufs: Donnerstag, 28. Mai 2009 15:58 Benötigte Zeit: 54:19 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 6303 Verzeichnisse wurden überprüft 405011 Dateien wurden geprüft 15 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 15 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 404995 Dateien ohne Befall 1940 Archive wurden durchsucht 1 Warnungen 15 Hinweise Die nervige Bombadierung mit Werbung durch den IE scheint vorbei zu sein. Bis hierher schon mal vielen Dank für die schnelle und kompetente Hilfe. |
|
|
|
|
|
|
28.05.2009, 16:20
Member
Beiträge: 3716 |
#6
Hi, von avira gibts bereits version neun, bitte aufspielen.
scanne erneut, log posten. und ein neues hjt-log auch. |
|
|
|
|
|
|
28.05.2009, 16:27
Member
Beiträge: 202 |
#7
Ups zu spät da halt ich mich raus
|
|
|
|
|
|
|
28.05.2009, 16:34
Member
Beiträge: 3716 |
#8
ach ja, da hab ich doch tatsächlich was vergessen, deine scherzprogramme kannst du widerherstellen, antivir öffnen, quarantäne und das was du behalten möchtest wieder raushohlen
|
|
|
|
|
|
|
28.05.2009, 19:27
...neu hier
Themenstarter Beiträge: 6 |
#9
Hi,
also Antivir Version 9 aufgespielt und upgedatet, anschließend gescannt (Ergebnis angehängt, habe versehentlich bei Report das "Erweiter"-Attribut angeklickt, ist diesmal also etwas ausführlicher). Hier das hjt-log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:20:20, on 28.05.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\avmwlanstick\FRITZWLANMini.exe C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\DOKUME~1\Wolfgang\LOKALE~1\Temp\Rar$EX00.859\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe O4 - HKLM\..\Run: [eXPertPDF OLR] C:\PROGRA~1\BVRPSO~1\EXPERT~1\BVRPOlr.exe /eXPertPDF O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe --background O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1193120964390 O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 6584 bytes In der Hoffnung bzw. Erwartung von guten Nachrichten verbleibe ich dankend |
|
|
|
|
|
|
28.05.2009, 19:39
Member
Beiträge: 3716 |
#10
was ist mit antivir neun+scan?
|
|
|
|
|
|
|
28.05.2009, 20:05
...neu hier
Themenstarter Beiträge: 6 |
||
|
|
|
|
|
28.05.2009, 20:11
...neu hier
Beiträge: 1 |
#12
Hiho,
ok leere mal deine Quatäne von Antivir und MBam Dann: [SIZE="4"]Combofix [/SIZE] Führe bitte Combofix aus. Downloade es dir von hier: http://download.bleepingcomputer.com/sUBs/ComboFix.exe Wichtig !! Speichere ComboFix auf dem Desktop -Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.(Später nicht vergessen es wieder einzuschalten) -Doppelklicke auf die ComboFix.exe und folge den Anweisungen. ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird. |
|
|
|
|
|
|
29.05.2009, 00:15
Moderator
Beiträge: 5694 |
#13
@ufr
warte auf die Anweisungen von Virenfinder @Lebel Hmm... ICh will Dir nicht zu Nahe treten. Weisst du was du da machst oder hast du diesen Text einfach einmal kopiert irgendwo? Der erste Beitrag als Anweisung? Gruss Swiss |
|
|
|
|
|
|
29.05.2009, 12:20
Member
Beiträge: 3716 |
#14
danke @swiss. vor allem wurde combofix bereits ausgeführt...
@ufr öffne hijackthis klicke scan hake an: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - C:\PROGRA~1\PRIVAC~1\tools\sp\spp.dll (file missing) drücke fix cheked schließe hijackthis. öffne antivir konfiguration allgemein protokolierung stelle um auf standard bzw. niedrig. Dann gehe auf gefahrenkategorieen und nimm den haken bei spiele und jokes raus dann öffne die quarantäne dort kannst du deine joke-tools wieder herstellen, die aus system volume information brauchst nicht. Rechtsklick auf arbeitsplatz,eigenschaften,systemwiderherstellung, wähle auf allen laufwerken deaktiviren übernehmen ok. warte ein paar min und schalte sie wieder ein. nutze otmoveit zur toolbereinigung: http://virus-protect.org/artikel/tools/otmoveIt.html danach kannst es wieder löschen. Besuche die windows update-seite, spiele alle wichtigen updates für dein System auf. Nutze für den rest deines systems psi (personal secunia software inspector): www.chip.de/downloads/Secunia-Personal-Software-Inspector_28151435.html - 90k - bitte windows updates und psi einmal pro monat ausfüren dies ist sehr wichtig für die sicherheit deines pcs! Antivir muss vor dem ersten gang ins internet geupdatet werden und sollte ein mal pro woche laufen! Malwarebytes kann man auch einmal pro woche laufen lassen (quick scan) Browser sicher einstellen: www.heise.de/security/dienste/browsercheck/ - 30k - Wenn es keine Probs mehr gibt, sind wir durch. |
|
|
|
|
|
|
29.05.2009, 17:33
...neu hier
Themenstarter Beiträge: 6 |
#15
Hi virenfinder,
habe die letzten Schritte nun auch gemacht. Windows update empfahl mir die Aktualisierung auf IE 8 und psi hat mir die Aktualisierung von win rar empfohlen. Zum Schluss habe ich nochmal Antivir komplett scannen lassen, ohne Fund. Probleme treten keine mehr auf und ich bin rundum zufrieden. Nochmal danke für die rasche Beantwortung bzw. Lösung meines Problems. Den Rat mit den regelmäßigen Scans und Updates werde ich mir zu Herzen nehmen. Na dann mal frohes Pfingsfest. Gruß ufr |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
nachdem mich mein IE (Version 6) seit Wochenanfang ohne eigenes Zutun regelmäßig mit Werbung im wahrsten Sinne des Wortes vollmüllt, bin ich über Google auf dieses Forum aufmerksam geworden. Die Beschreibungen bzw. Auswirkungen in den vorangegangenen Threads zu diesem Virus weisen Parallelen zu meinem Problem auf, mit dem Unterschied dass ich keinen Messenger Plus bzw. NetPumper auf meinem Rechner finde. Daher weiß ich auch nicht, durch welchen Download die Problematik ausgelöst wurde.
Zu erwähnen ist noch, dass der Virenscanner (Antivir) in schöner Regelmäßigkeit den Fund von mindestens 10 Viren direkt aufeinanderfolgend anzeigt. Diese verschiebe ich dann erstmal in Quarantäne.
Mit der für diesen Fall üblichen Prozedur http://virus-protect.org/artikel/spyware/lop1.html habe ich mich schon mal befasst und bin jetzt bei Punkt 3.
Mein Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:58:24, on 27.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\11093.exe
C:\DOKUME~1\Wolfgang\LOKALE~1\Temp\14093.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\msb.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Wolfgang\LOKALE~1\Temp\Rar$EX00.485\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - C:\PROGRA~1\PRIVAC~1\tools\sp\spp.dll (file missing)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [eXPertPDF OLR] C:\PROGRA~1\BVRPSO~1\EXPERT~1\BVRPOlr.exe /eXPertPDF
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [agent.exe] C:\Programme\Privacy center\agent.exe
O4 - HKCU\..\Run: [Cognac] C:\DOKUME~1\Wolfgang\LOKALE~1\Temp\14093.exe
O4 - HKCU\..\Run: [ColdWare] C:\WINDOWS\msb.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1193120964390
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://scanner.defender-scanner.com/a/install1257.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ipfw_helper (ipfw) - Unknown owner - C:\WINDOWS\system32\11093.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 7462 bytes
Ich bedanke mich an dieser Stelle im Voraus für einen Lösungsvorschlag auf mein Anliegen.