Habe anscheinend mehrere Viren und Trojaner auf dem Pc eingefangen |
||
---|---|---|
#0
| ||
24.07.2009, 18:45
Member
Beiträge: 36 |
||
|
||
24.07.2009, 18:53
Moderator
Beiträge: 5694 |
#2
Da sieht nach Silentbanker aus.
>> Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis: C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Macromedia\Common\a246001419.exe Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren >> Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind) Zitat O4 - HKCU\..\Run: [WAB] C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Macromedia\Common\a246001419.exeund wähle fix checked. Starte den Rechner neu. >> Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log: (Vor der Anwendung Update nicht vergessen) http://virus-protect.org/artikel/tools/malwarebytes.html >> Wende Combofix an und poste das Log: http://www.virus-protect.org/artikel/tools/combofix.html gruss Swiss |
|
|
||
24.07.2009, 19:01
Member
Themenstarter Beiträge: 36 |
#3
danke für deine schnelle Antwort.
Diese drei Einträge, welche du im Zitat hast, versuche ich städnig zu fixen, doch sie erscheinen immer wieder. Mit deinen Links kann ich leider nichts anfangen, da ich keine Seiten aufrufen kann, welche etwas mit Antivirenprogramme zu tun haben. Dazu gehören auch virustotal.de und virus-protect.org. Ich probier jetzt nochmal die drei Einträge von Hjjack zu fixen und darauf zu neustarten. |
|
|
||
24.07.2009, 19:24
Member
Themenstarter Beiträge: 36 |
#4
Also die Einträge zeigt es im Hjjack immer noch an.
Jedoch ist jetzt nach dem Neustart mein Desktop Skinn weg. (Ich hatte ein komplettes Skin von Windows7 drauf, mit Hintergrund, Taskleiste und Co.) jedenfalls ist jetzt die Taskleiste nicht mehr Win 7 Blau, sondern wie Win 2000 und älter so grau. Dasselbe gilt für die Fensterrahmen. |
|
|
||
24.07.2009, 19:26
Moderator
Beiträge: 5694 |
||
|
||
24.07.2009, 19:39
Member
Themenstarter Beiträge: 36 |
#6
ok danke, mal schauen, was er so findet.
|
|
|
||
24.07.2009, 20:09
Member
Themenstarter Beiträge: 36 |
#7
ok er hat 26 sachen gefunden. hier der log dazu:
Malwarebytes' Anti-Malware 1.39 Datenbank Version: 2421 Windows 5.1.2600 Service Pack 2 24.07.2009 19:54:42 malwarebytescheck Scan-Methode: Quick-Scan Durchsuchte Objekte: 85505 Laufzeit: 12 minute(s), 33 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 8 Infizierte Verzeichnisse: 2 Infizierte Dateien: 9 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> No action taken. HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\Root\LEGACY_DRVFLTIP (Rogue.UnVirex) -> No action taken. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\DrvFltIp (Rogue.UnVirex) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_DRVFLTIP (Rogue.UnVirex) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DrvFltIp (Rogue.UnVirex) -> No action taken. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\a24600141.dll) Good: (wdmaud.drv) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\a24600141.dll) Good: (wdmaud.drv) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\a24600141.dll) Good: (wdmaud.drv) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\a24600141.dll) Good: (wdmaud.drv) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\a24600141.dll) Good: (wdmaud.drv) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\a24600141.dll) Good: (wdmaud.drv) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\a24600141.dll) Good: (wdmaud.drv) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\Oliver\ANWEND~1\MACROM~1\Common\a24600141.dll) Good: (wdmaud.drv) -> No action taken. Infizierte Verzeichnisse: C:\resycled (Trojan.DNSChanger) -> No action taken. C:\Programme\Jcore (Trojan.BHO) -> No action taken. Infizierte Dateien: c:\resycled\boot.com (Trojan.DNSChanger) -> No action taken. c:\programme\Jcore\Jcore2.dll (Trojan.BHO) -> No action taken. c:\dokumente und einstellungen\Oliver\anwendungsdaten\macromedia\Common\a24600141.dll (Hijack.Sound) -> No action taken. c:\WINDOWS\system32\5.tmp (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\7.tmp (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\9.tmp (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\B.tmp (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\D.tmp (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\E.tmp (Trojan.Agent) -> No action taken. die dateien sollten von dem programm gelöscht sein, da das programm zum löschen einen neustart verlangte, welchen ich soeben durchgeführt hatte. |
|
|
||
24.07.2009, 20:11
Moderator
Beiträge: 5694 |
#8
Nun versuche Combofix anzuwenden:
http://www.virus-protect.org/artikel/tools/combofix.html Gruss Swiss |
|
|
||
24.07.2009, 20:13
Member
Themenstarter Beiträge: 36 |
#9
kannst du dasd programm nicht wieder per anhang machen?
ich kann die seite nicht öffnen^^ ;-( |
|
|
||
24.07.2009, 20:19
Moderator
Beiträge: 5694 |
||
|
||
24.07.2009, 20:36
Member
Themenstarter Beiträge: 36 |
#11
danke, geht aber nicht. darauf kommt folgende, sehr komische ERROR-Meldung:
!! WARNUNG!! ES IST NICHT SICHER weiter zu machen! Der Inhalt des ComboFix-Anwendungspaketes wurde komprimitiert. Bitte lade eine frische Version von: http://www.bleepingcomputer.com/combofix/how-to-use-combofix herunter. NB: Du bist vielleicht mit einem Virus infiziert, der Dateien modifiziert, bzw. infiziert "Virut". OK Deine datei ist sicher nicht infiziert, aber der virus kennt wohl combofix schon^^ |
|
|
||
24.07.2009, 20:46
Moderator
Beiträge: 5694 |
#12
>>
Lade bitte SDfix SDFix.zip entpacken - es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory typically C:\SDFix )" - unter C:\ findet man nun den SDFix-Ordner - boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) - gehe in den Ordner C:\SDFix - RunThis.bat doppelt klicken - schreibe: Y - folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint Gruss Swiss |
|
|
||
24.07.2009, 22:33
Member
Themenstarter Beiträge: 36 |
#13
SDFix: Version 1.240
Run by Oliver on 24.07.2009 at 21:54 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : Trojan Files Found: C:\WINDOWS\Temp\10.tmp.exe - Deleted C:\WINDOWS\Temp\10.tmp.exe - Deleted C:\WINDOWS\system32\5.tmp - Deleted C:\WINDOWS\system32\7.tmp - Deleted C:\WINDOWS\system32\2D.tmp - Deleted C:\WINDOWS\system32\2F.tmp - Deleted C:\WINDOWS\system32\15.tmp - Deleted C:\WINDOWS\system32\17.tmp - Deleted C:\WINDOWS\system32\18.tmp - Deleted C:\WINDOWS\system32\1B.tmp - Deleted Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-07-24 22:20:36 Windows 5.1.2600 Service Pack 2 NTFS detected NTDLL code modification: ZwOpenFile scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\\Programme\\IncrediMail\\bin\\ImApp.exe"="C:\\Programme\\IncrediMail\\bin\\ImApp.exe:*:Enabled:IncrediMail" "C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail" "C:\\Programme\\ICQ6.5\\ICQ.exe"="C:\\Programme\\ICQ6.5\\ICQ.exe:*:Enabled:ICQ6" "C:\\Programme\\IncrediMail\\bin\\IncMail.exe"="C:\\Programme\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail" "C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Enabled:@xpsp2res.dll,-22019" "C:\\Programme\\IncrediMail\\bin\\ImNotfy.exe"="C:\\Programme\\IncrediMail\\bin\\ImNotfy.exe:*:Enabled:ImNotfy" "C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"="C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe:*:Enabled:BlueSoleil" "C:\\Programme\\BearShare\\BearShare.exe"="C:\\Programme\\BearShare\\BearShare.exe:*:Enabled:BearShare" "C:\\WINDOWS\\system32\\dpnsvr.exe"="C:\\WINDOWS\\system32\\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8-Server" "C:\\Programme\\Desert Storm\\DesertStorm.exe"="C:\\Programme\\Desert Storm\\DesertStorm.exe:*:Enabled:Conflict:Desert Storm" "C:\\Programme\\Microsoft Expression\\Media 2\\Media.exe"="C:\\Programme\\Microsoft Expression\\Media 2\\Media.exe:*:Enabled:iView Multimedia" "C:\\Programme\\eDonkey2000\\edonkey2000.exe"="C:\\Programme\\eDonkey2000\\edonkey2000.exe:*:Enabled:edonkey2000" "C:\\Programme\\InterVideo\\DVD8\\WinDVD.exe"="C:\\Programme\\InterVideo\\DVD8\\WinDVD.exe:*:Enabled:WinDVD" "C:\\Programme\\The_Boss\\bin\\boss.exe"="C:\\Programme\\The_Boss\\bin\\boss.exe:*:Enabled:boss" "C:\\Programme\\PinnacleVideoSpin\\Programs\\RM.exe"="C:\\Programme\\PinnacleVideoSpin\\Programs\\RM.exe:*:Enabled:Render Manager" "C:\\Programme\\PinnacleVideoSpin\\Programs\\PMSRegisterFile.exe"="C:\\Programme\\PinnacleVideoSpin\\Programs\\PMSRegisterFile.exe:*:Enabled:PMSRegisterFile" "C:\\Programme\\PinnacleVideoSpin\\Programs\\umi.exe"="C:\\Programme\\PinnacleVideoSpin\\Programs\\umi.exe:*:Enabled:umi" "C:\\Programme\\PinnacleVideoSpin\\Programs\\VideoSpin.exe"="C:\\Programme\\PinnacleVideoSpin\\Programs\\VideoSpin.exe:*:Enabled:Pinnacle VideoSpin" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "E:\\Programme\\Vietcong\\VietCong.exe"="E:\\Programme\\Vietcong\\VietCong.exe:*:Enabled:VietCong" "C:\\Programme\\Zattoo\\zattood.exe"="C:\\Programme\\Zattoo\\zattood.exe:*:Enabled:zattood" "C:\\Programme\\Zattoo\\Zattoo2.exe"="C:\\Programme\\Zattoo\\Zattoo2.exe:*:Enabled: " "C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox" "C:\\Programme\\GMX MultiMessenger\\MESSENGR.EXE"="C:\\Programme\\GMX MultiMessenger\\MESSENGR.EXE:*:Enabled:GMX MultiMessenger" "C:\\Programme\\FRITZ!Box Monitor\\FRITZBoxMonitor.exe"="C:\\Programme\\FRITZ!Box Monitor\\FRITZBoxMonitor.exe:*:Enabled:FRITZ!Box Monitor" "C:\\Dokumente und Einstellungen\\Oliver\\Desktop\\Phoner\\phoner.exe"="C:\\Dokumente und Einstellungen\\Oliver\\Desktop\\Phoner\\phoner.exe:*:Enabled:PC-Telefonie (TAPI, CAPI, SIP)" "C:\\Programme\\ANNO 1602 Königs-Edition\\1602.exe"="C:\\Programme\\ANNO 1602 Königs-Edition\\1602.exe:*:Enabled:1602" "C:\\Programme\\WebDrive\\webdrive.exe"="C:\\Programme\\WebDrive\\webdrive.exe:*:Enabled:WebDrive Application" "C:\\Programme\\WebDrive\\wdService.exe"="C:\\Programme\\WebDrive\\wdService.exe:*:Enabled:WebDrive Service" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" "C:\\Programme\\BitTorrent\\bittorrent.exe"="C:\\Programme\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent" "C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes" "C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule" "\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" Remaining Files : File Backups: - C:\SDFix\SDFix\backups\backups.zip Files with Hidden Attributes : Wed 31 Dec 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp" Sun 8 Feb 2009 57,856 A..H. --- "C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Microsoft\Word\~WRL0004.tmp" Fri 2 May 2008 3,493,888 A..H. --- "C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\U3\temp\Launchpad Removal.exe" Thu 26 Mar 2009 2,540,846 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b82e424ef86b3e97d6d5acfa81690b76\download\BIT363.tmp" Tue 13 Apr 2004 212,992 ...H. --- "C:\RECYCLER\S-1-5-21-1454471165-920026266-1060284298-1003\Dc14\Gemeinsame Dateien\Nero\AudioPlugins\OFR.EXE" Sun 23 Feb 2003 64,512 ...H. --- "C:\RECYCLER\S-1-5-21-1454471165-920026266-1060284298-1003\Dc14\Gemeinsame Dateien\Nero\AudioPlugins\MusePack\MPPDEC.EXE" Sat 26 Oct 2002 79,360 ...H. --- "C:\RECYCLER\S-1-5-21-1454471165-920026266-1060284298-1003\Dc14\Gemeinsame Dateien\Nero\AudioPlugins\MusePack\MPPENC.EXE" Fri 14 Feb 2003 910,152 ...H. --- "C:\RECYCLER\S-1-5-21-1454471165-920026266-1060284298-1003\Dc14\Gemeinsame Dateien\Nero\AudioPlugins\Shorten\CYGWIN1.DLL" Sun 20 Apr 2003 60,928 ...H. --- "C:\RECYCLER\S-1-5-21-1454471165-920026266-1060284298-1003\Dc14\Gemeinsame Dateien\Nero\AudioPlugins\Shorten\SHORTEN.EXE" Wed 8 Oct 2003 75,264 ...H. --- "C:\RECYCLER\S-1-5-21-1454471165-920026266-1060284298-1003\Dc14\Gemeinsame Dateien\Nero\AudioPlugins\Speex\speexdec.exe" Wed 8 Oct 2003 77,312 ...H. --- "C:\RECYCLER\S-1-5-21-1454471165-920026266-1060284298-1003\Dc14\Gemeinsame Dateien\Nero\AudioPlugins\Speex\speexenc.exe" Finished! so das wäre der Report von SDFix. Kannst du mir schon i-wie ein Feedback geben wie der Virus vernichtet werden kann oder ob es schon vernichtet worden ist?!? |
|
|
||
24.07.2009, 22:54
Moderator
Beiträge: 5694 |
#14
Wir sind auf Kurs...
>> Wende Fixwareout an: Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt >> wende bitte RSIT an + poste die zwei Logs http://virus-protect.org/artikel/tools/random.html Gruss Swiss |
|
|
||
24.07.2009, 22:59
Member
Themenstarter Beiträge: 36 |
#15
^^du hast vergessen dass ich keine antivirenseiten öffnen kann
|
|
|
||
Ich hab mich heute schon den ganzen Tag schlau gemacht und hab mehrfach Hjjack This benutzt und EScan MwaV.
Hjjack hat mehrere Dateien gefunden, welche ich darauf gelöscht hab, wie es die HP http://www.hijackthis.de/de#anl besagt. Dort hab ich mein Logfile checken lassen.
U. a. hat es folgende Viren letztendlich gefunden (von Mwav):
Objekt "WhenU.SaveNow Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "Holistyc Dialer" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme
Objekt "Fix Tool Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "Uplink Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "Cheat Monitor Commercial KeyLogger" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "SpySure Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "CyberSitter Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "Spyware.ExpressKeylog Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "W32/AutoTDSS.XP Worm" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "Spyware.KeyProwler Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "Spyware.KeyProwler Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Und zuletzt noch die infizierten Dateinen, die ich schon vernichtet habe:
Datei C:\Dokumente und Einstellungen\Oliver\Lokale Einstellungen\Temp\DEVCON.EXE ist durch den Virus "Trojan.Peed.Gen (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente und Einstellungen\Oliver\Lokale Einstellungen\Temp\is-EMB7L.tmp\exit_av.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente und Einstellungen\Oliver\Lokale Einstellungen\Temp\tmpTLapp\McLoad-Preinstaller.exe ist durch den Virus "Worm.Generic.59702 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Hier der Logfile von Hjjack This:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:36:04, on 24.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\WINDOWS\FixCamera.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\WINDOWS\vsnp2std.exe
C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe
C:\Programme\Ashampoo\Ashampoo AntiVirus\GuardGui.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\U3\U3Launcher\LaunchU3.exe
C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
C:\Programme\Ashampoo\Ashampoo AntiVirus\ashAvSrv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\explorer.exe
C:\Programme\CCleaner\CCleaner.exe
C:\Programme\IncrediMail\bin\IncMail.exe
C:\Programme\IncrediMail\bin\IMApp.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ie8-mybrowser.de/start/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von www.IE8-MyBrowser.de
O1 - Hosts: ::1 localhost
O2 - BHO: CmjBrowserHelperObject Object - {07A11D74-9D25-4fea-A833-8B0D76A5577A} - C:\Programme\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Programme\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: WinAVI FLVSense - {E8DF67A1-B618-4F3F-9E7C-CBE175ADEF5B} - C:\Programme\WinAVI FLV Converter\FLVTune.dll
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programme\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Programme\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programme\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [Ashampoo FireWall PRO] "C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AVMFBoxMonitor] "C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SIDEBAR] "C:\Programme\Desktop Sidebar\dsidebar.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WAB] C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\Macromedia\Common\a246001419.exe
O4 - HKCU\..\Run: [CCleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [rundll32.exe] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [WAB] C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\a246001419.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ashampoo AntiVirus Service.lnk = C:\Programme\Ashampoo\Ashampoo AntiVirus\GuardGui.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Download FLV by WinAVI... - C:\Programme\WinAVI FLV Converter\flv_link.htm
O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.30.0\gears.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: An Mindjet MindManager senden - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - C:\Programme\Mindjet\MindManager 7\Mm7InternetExplorer.dll
O9 - Extra button: WinAVI FLV Manager - {DE365254-2F9B-4908-9E3A-7AAA6EC90BCC} - C:\Programme\WinAVI FLV Converter\FLVTune.dll
O9 - Extra 'Tools' menuitem: WinAVI FLV Manager - {DE365254-2F9B-4908-9E3A-7AAA6EC90BCC} - C:\Programme\WinAVI FLV Converter\FLVTune.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase1140.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230746467831
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avGuard Service (avGuard) - Unknown owner - C:\Programme\Ashampoo\Ashampoo AntiVirus\ashAvSrv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe (file missing)
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe (file missing)
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
--
End of file - 11545 bytes
Im Anhang hab ich noch den Log von EScan, falls jemand damit was anfangen könnte.
Ich brauch dringend kompetente Hilfe. Ich hab vor noch nicht allzu langer Zeit mein Win XP mit SP2 komplett neuinstalliert und will das nicht unbedingt noch mal tun.
Ich habe es leider auch bisher verpennt, eine Antiviren-Software zu installieren. Ich habe lediglich Ashampoo AntiVir drauf, und dass im Moment auch nur in der 10-tägigen Testversion.
Avira AntiVir kann ich nicht installieren, denn beim Installieren, kommt sobald es sich entpackt hat, die Meldung: "CRC-Summe bzw. Prüfsumme von xyz/setup.exe hat sich verändert. Dies könnte durch einen Virus verursacht worden sein." AVG kann ich auch nicht installieren, da bei der Installation eine Internetverbindung benötigt wird. ich hab zwar Internetanschluss, welcher auch funktioniert, doch das Programm sagt es sei keine Verbindung möglich.
Wie ich auch schon in andren Foren und News gelesen habe, hab ich wohl den Virus Trojan.Peed.Gen oder so ähnlich. Jedenfalls sei dies die "neue" Version der Storm-Wurm Virus.
Ich hoffe, ihr könnt mir helfen.
Lg Oliver