Virus oder unerwünschtes Programm "TR/Spy.Gen" [trojan] taucht immer wieder auf |
||
---|---|---|
#0
| ||
07.01.2010, 13:22
Member
Beiträge: 3716 |
||
|
||
08.01.2010, 00:07
Member
Themenstarter Beiträge: 24 |
#32
mirc brauche ich nicht, daher habe ich jetzt auch gar nicht versucht es zu starten. Das nutze ich seit Jahren nicht mehr.
Vorhin habe ich mit F-Secure einen Online-Scan durchgeführt: Scanned: * Files: 31457 * System: 3973 * Not scanned: 6 Actions: * Disinfected: 0 * Renamed: 0 * Deleted: 0 * Not cleaned: 0 * Submitted: 0 Files not scanned: * J:\PAGEFILE.SYS * J:\WINDOWS\SYSTEM32\CONFIG\DEFAULT * J:\WINDOWS\SYSTEM32\CONFIG\SAM * J:\WINDOWS\SYSTEM32\CONFIG\SECURITY * J:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE * J:\WINDOWS\SYSTEM32\CONFIG\SYSTEM Anschließend neu gestartet und mit Eset gescannt, der hat einen Treffer gehabt: J:\System Volume Information\_restore{DEDE8F54-D1AB-48A5-A5CE-189AE4F32B4C}\RP4\A0000876.DLL Win32/Agent.QOH trojan cleaned by deleting - quarantined Ich habe das Gefühl, das System ist langsam sauber. Dann wundern mich aber solche Treffer wie der oben um so mehr...Tipps? |
|
|
||
08.01.2010, 12:15
Member
Beiträge: 3716 |
#33
es ist die systemwiederherstellung.
j:\windows\system32\wupd.dat kannst du die bitte noch löschen? |
|
|
||
08.01.2010, 12:37
Member
Themenstarter Beiträge: 24 |
#34
Finde die Datei nicht, auch nicht mit der Windows-Suche.
|
|
|
||
08.01.2010, 12:48
Member
Beiträge: 3716 |
#35
bitte lade erneut combofix, erstelle erneut ein script wie auf seite 1
File:: j:\windows\system32\wupd.dat poste das log |
|
|
||
09.01.2010, 18:14
Member
Themenstarter Beiträge: 24 |
#36
Gestern gab es erneut einige Virenmeldungen, insbesondere durch Anti-Vir.
Habe CCleaner genutzt und erneut PC sauber gemacht, die Viren aus der Quarantäne gelöscht. Jetzt deine Anweisung befolgt und die wupd.dat mit Combofix gelöscht. Hier ist das Logfile von Combofix: ComboFix 10-01-04.01 - Andrej 09.01.2010 16:14:24.2.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1323 [GMT 1:00] ausgeführt von:: j:\dokumente und einstellungen\Andrej.ANDREJ\Desktop\Test-123.exe Benutzte Befehlsschalter :: j:\dokumente und einstellungen\Andrej.ANDREJ\Desktop\cfscript.txt AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} FILE :: "j:\windows\system32\wupd.dat" . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . j:\windows\system32\wupd.dat . ((((((((((((((((((((((( Dateien erstellt von 2009-12-09 bis 2010-01-09 )))))))))))))))))))))))))))))) . 2010-01-05 22:00 . 2010-01-05 22:00 -------- d-----w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Malwarebytes 2010-01-05 22:00 . 2010-01-05 22:00 -------- d-----w- j:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes 2010-01-05 21:46 . 2010-01-05 21:48 -------- d-----w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\QuickScan 2010-01-05 21:46 . 2010-01-02 23:26 697672 ----a-w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Mozilla\Firefox\Profiles\z8surrg5.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll 2010-01-05 21:46 . 2010-01-02 23:26 789320 ----a-w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Mozilla\Firefox\Profiles\z8surrg5.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll 2010-01-05 21:38 . 2010-01-05 21:38 152576 ----a-w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll 2010-01-05 21:15 . 2010-01-05 21:38 79488 ----a-w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll 2010-01-02 22:09 . 2010-01-02 22:09 -------- d-----w- j:\programme\Windows Media Connect 2 2010-01-02 22:06 . 2010-01-02 22:07 -------- d-----w- j:\windows\system32\drivers\UMDF 2010-01-02 22:06 . 2010-01-02 22:06 -------- d-----w- j:\windows\system32\LogFiles 2009-12-31 14:03 . 2009-11-21 15:54 471552 -c----w- j:\windows\system32\dllcache\aclayers.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-01-09 14:03 . 2008-03-16 20:07 -------- d---a-w- j:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP 2010-01-08 18:08 . 2008-03-16 20:14 -------- d-----w- j:\programme\Gemeinsame Dateien\Symantec Shared 2010-01-08 18:07 . 2008-03-16 20:04 -------- d-----w- j:\programme\Norton Security Scan 2010-01-08 08:28 . 2008-03-16 20:07 -------- d-----w- j:\programme\Spyware Doctor 2010-01-07 18:54 . 2009-04-25 13:11 604416 ----a-w- j:\windows\system32\TUProgSt.exe 2010-01-07 18:54 . 2010-01-07 18:54 361216 ----a-w- j:\windows\system32\TuneUpDefragService.exe 2010-01-07 12:08 . 2010-01-07 12:08 -------- d-----w- j:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\F-Secure 2010-01-07 11:34 . 2008-03-16 16:35 79648 ----a-w- j:\dokumente und einstellungen\Andrej.ANDREJ\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-01-06 21:16 . 2010-01-06 21:16 -------- d-----w- j:\programme\ESET 2010-01-05 23:49 . 2009-05-02 14:27 -------- d-----w- j:\programme\Bonjour 2010-01-05 22:11 . 2008-03-17 19:09 -------- d-----w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\ICQ 2010-01-05 21:39 . 2008-09-24 11:17 -------- d-----w- j:\programme\Java 2010-01-05 21:02 . 2004-08-04 12:00 81126 ----a-w- j:\windows\system32\perfc007.dat 2010-01-05 21:02 . 2004-08-04 12:00 452300 ----a-w- j:\windows\system32\perfh007.dat 2010-01-05 10:30 . 2008-03-17 19:09 -------- d-----w- j:\programme\ICQToolbar 2010-01-04 13:52 . 2009-03-19 10:04 -------- d-----w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\TeamViewer 2010-01-04 13:52 . 2009-06-22 12:44 -------- d-----w- j:\programme\TeamViewer 2010-01-04 00:38 . 2008-03-16 20:10 -------- d-----w- j:\programme\Gemeinsame Dateien\Adobe 2010-01-01 22:10 . 2008-03-21 03:27 232 ----a-w- j:\windows\system32\mslck.dat 2009-12-29 21:42 . 2008-03-27 13:53 -------- d-----w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Skype 2009-12-29 21:36 . 2008-03-27 13:55 -------- d-----w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\skypePM 2009-12-07 21:37 . 2009-07-29 18:59 56816 ----a-w- j:\windows\system32\drivers\avgntflt.sys 2009-12-04 09:03 . 2009-12-04 09:03 251376 ----a-w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Mozilla\plugins\npgoogletalk.dll 2009-12-03 21:09 . 2009-12-03 21:09 34062 ----a-w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Move Networks\ie_bin\Uninst.exe 2009-12-03 21:09 . 2009-12-03 20:58 -------- d-----w- j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Move Networks 2009-11-21 15:54 . 2004-08-04 12:00 471552 ----a-w- j:\windows\AppPatch\aclayers.dll 2009-11-21 13:19 . 2009-09-05 07:39 -------- d-----w- j:\programme\Gemeinsame Dateien\DVDVideoSoft 2009-11-21 13:19 . 2009-11-21 13:19 -------- d-----w- j:\programme\DVDVideoSoft 2009-11-13 13:26 . 2008-07-20 18:50 -------- d-----w- j:\programme\Safari 2009-11-13 13:24 . 2009-11-13 13:24 79144 ----a-w- j:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple Computer\Installer Cache\Safari 5.31.21.10\SetupAdmin.exe 2009-11-13 13:22 . 2009-11-13 13:22 -------- d-----w- j:\programme\iPod 2009-11-13 13:22 . 2008-03-17 19:23 -------- d-----w- j:\programme\Gemeinsame Dateien\Apple 2009-11-13 13:17 . 2009-11-13 13:17 79144 ----a-w- j:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe 2009-10-29 07:40 . 2004-08-04 12:00 916480 ------w- j:\windows\system32\wininet.dll 2009-10-21 05:38 . 2004-08-04 12:00 75776 ----a-w- j:\windows\system32\strmfilt.dll 2009-10-21 05:38 . 2004-08-04 12:00 25088 ----a-w- j:\windows\system32\httpapi.dll 2009-10-20 16:20 . 2004-08-04 12:00 265728 ----a-w- j:\windows\system32\drivers\http.sys 2009-10-13 10:32 . 2004-08-04 12:00 271360 ----a-w- j:\windows\system32\oakley.dll 2009-10-12 13:38 . 2004-08-04 12:00 79872 ----a-w- j:\windows\system32\raschap.dll 2009-10-12 13:38 . 2004-08-04 12:00 150528 ----a-w- j:\windows\system32\rastls.dll 2009-12-04 09:17 . 2008-09-29 13:00 119808 ----a-w- j:\programme\mozilla firefox\components\GoogleDesktopMozilla.dll 2008-07-20 19:10 . 2008-03-16 20:05 67696 ----a-w- j:\programme\mozilla firefox\components\jar50.dll 2008-07-20 19:10 . 2008-03-16 20:05 54376 ----a-w- j:\programme\mozilla firefox\components\jsd3250.dll 2008-07-20 19:10 . 2008-03-16 20:05 34952 ----a-w- j:\programme\mozilla firefox\components\myspell.dll 2008-07-20 19:10 . 2008-03-16 20:05 46720 ----a-w- j:\programme\mozilla firefox\components\spellchk.dll 2008-07-20 19:10 . 2008-03-16 20:05 172144 ----a-w- j:\programme\mozilla firefox\components\xpinstal.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="j:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-16 68856] "ICQ"="p:\icq6.5\ICQ.exe" [2009-11-16 172792] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Bluetooth Connection Assistant"="LBTWIZ.EXE -silent" [X] "StartCCC"="j:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440] "PHIME2002ASync"="j:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168] "PHIME2002A"="j:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304] "ISUSScheduler"="j:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-04-13 69632] "ISUSPM Startup"="j:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-04-17 196608] "Google Desktop Search"="j:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2009-12-04 30192] "CTxfiHlp"="CTXFIHLP.EXE" [2006-08-11 18944] "CTHelper"="CTHELPER.EXE" [2006-08-11 17920] "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592] "avgnt"="p:\avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "ISTray"="j:\programme\Spyware Doctor\pctsTray.exe" [2008-02-01 1103240] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="j:\windows\system32\CTFMON.EXE" [2008-04-14 15360] j:\dokumente und einstellungen\Andrej.ANDREJ\Startmen\Programme\Autostart\ Adobe Gamma.lnk - j:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664] j:\dokumente und einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\ Google Desktop.lnk - j:\programme\Google\Google Desktop Search\GoogleDesktop.exe [2008-9-29 30192] Logitech SetPoint.lnk - p:\logitech\SetPoint\SetPoint.exe [2008-9-24 805392] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn] 2008-05-02 00:42 72208 ----a-w- j:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] 2009-09-04 11:08 935288 ----a-r- j:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier] 2009-08-13 14:51 177440 ----a-w- j:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update] 2009-04-21 21:07 133104 ----atw- j:\dokumente und einstellungen\Andrej.ANDREJ\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2009-10-28 19:21 141600 ----a-w- p:\itunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2006-01-12 14:40 155648 ----a-w- j:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2009-11-10 22:08 417792 ----a-w- p:\quicktime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2009-10-11 03:17 149280 ----a-w- j:\programme\Java\jre6\bin\jusched.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "Orb"="j:\programme\Winamp Remote\bin\OrbTray.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "QuickTime Task"="p:\quicktime\QTTask.exe" -atboottime "Adobe Reader Speed Launcher"="p:\adobe\Reader 9.0\Reader\Reader_sl.exe" "iTunesHelper"="p:\itunes\iTunesHelper.exe" "Sony Ericsson PC Suite"="p:\sony ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions "FreePDF Assistant"=j:\programme\FreePDF_XP\fpassist.exe "LanguageShortcut"=p:\powerdvd\Language\Language.exe "IMJPMIG8.1"="j:\windows\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 "RemoteControl"=p:\powerdvd\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "p:\\Nero 7\\Nero Home\\NeroHome.exe"= "j:\\Programme\\Winamp Remote\\bin\\Orb.exe"= "j:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"= "j:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"= "p:\\Steam\\steamapps\\gara@esl-europe.net\\counter-strike source\\hl2.exe"= "j:\\Dokumente und Einstellungen\\Andrej.ANDREJ\\Lokale Einstellungen\\Anwendungsdaten\\Google\\Google Talk Plugin\\googletalkplugin.dll"= "j:\\Dokumente und Einstellungen\\Andrej.ANDREJ\\Lokale Einstellungen\\Anwendungsdaten\\Google\\Google Talk Plugin\\googletalkplugin.exe"= "j:\\Programme\\Bonjour\\mDNSResponder.exe"= "p:\\ICQ6.5\\ICQ.exe"= "p:\\iTunes\\iTunes.exe"= "j:\\Programme\\Skype\\Phone\\Skype.exe"= "j:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"= R2 AntiVirSchedulerService;Avira AntiVir Planer;p:\avira\AntiVir Desktop\sched.exe [29.07.2009 19:59 108289] R2 sdAuxService;PC Tools Auxiliary Service;j:\programme\Spyware Doctor\pctsAuxs.exe [16.03.2008 21:07 747912] R2 WF23880;WinFast TV2000/DV2000 WDM Video Capture.;j:\windows\system32\drivers\wf88vcap.sys [16.03.2008 23:28 209171] R2 WF88XBAR;WinFast TV2000/DV2000 WDM Crossbar.;j:\windows\system32\drivers\WF88XBAR.sys [16.03.2008 23:31 9284] R2 WFTUNE;WinFast TV2000/DV2000 WDM Tuner.;j:\windows\system32\drivers\wf88tune.sys [16.03.2008 23:31 36261] S3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;j:\programme\Google\Google Desktop Search\GoogleDesktop.exe [29.09.2008 14:00 30192] S3 s115bus;Sony Ericsson Device 115 driver (WDM);j:\windows\system32\drivers\s115bus.sys [23.03.2008 00:41 83208] S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;j:\windows\system32\drivers\s115mdfl.sys [23.03.2008 00:41 15112] S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;j:\windows\system32\drivers\s115mdm.sys [23.03.2008 00:41 108680] S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);j:\windows\system32\drivers\s115mgmt.sys [23.03.2008 00:41 100488] S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;j:\windows\system32\drivers\s115obex.sys [23.03.2008 00:41 98568] S3 SetupNTGLM7X;SetupNTGLM7X;\??\g:\ntglm7x.sys --> g:\NTGLM7X.sys [?] S3 SPC620;Philips SPC620NC PC Camera;j:\windows\system32\drivers\SPC620.sys [21.04.2009 10:04 484352] S3 SPC620m;Philips SPC620NC PC Cameram;j:\windows\system32\drivers\SPC620m.sys [21.04.2009 10:04 7680] S3 WFIOCTL;WFIOCTL;\??\p:\winfast\WFDTV\WFIOCTL.SYS --> p:\winfast\WFDTV\WFIOCTL.SYS [?] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - mchInjDrv HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2010-01-09 j:\windows\Tasks\1-Klick-Wartung.job - p:\tuneup utilities 2009\OneClickStarter.exe [2009-04-27 12:39] 2010-01-08 j:\windows\Tasks\AppleSoftwareUpdate.job - j:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34] 2010-01-08 j:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1409082233-1844237615-725345543-1004Core.job - j:\dokumente und einstellungen\Andrej.ANDREJ\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-04-21 21:07] 2010-01-09 j:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1409082233-1844237615-725345543-1004UA.job - j:\dokumente und einstellungen\Andrej.ANDREJ\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-04-21 21:07] 2010-01-08 j:\windows\Tasks\Norton Security Scan.job - j:\programme\Norton Security Scan\Nss.exe [2007-09-18 22:42] 2010-01-09 j:\windows\Tasks\User_Feed_Synchronization-{187701C6-96ED-42FC-BEEC-F09F9CDB9C9B}.job - j:\windows\system32\msfeedssync.exe [2007-08-13 02:31] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://ionas.rz.uni-mannheim.de/system/start.pl uInternet Settings,ProxyOverride = *.local IE: An vorhandene PDF-Datei anfügen - j:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html IE: Linkziel an vorhandene PDF-Datei anhängen - j:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Linkziel in Adobe PDF konvertieren - j:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Nach Microsoft &Excel exportieren - p:\micros~1\OFFICE11\EXCEL.EXE/3000 IE: Save YouTube Video as MP3 - j:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - j:\programme\PokerStars.NET\PokerStarsUpdate.exe FF - ProfilePath - j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Mozilla\Firefox\Profiles\z8surrg5.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - www.faz.net FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q= FF - plugin: j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Mozilla\Firefox\Profiles\z8surrg5.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll FF - plugin: j:\dokumente und einstellungen\Andrej.ANDREJ\Anwendungsdaten\Mozilla\plugins\npgoogletalk.dll FF - plugin: j:\dokumente und einstellungen\Andrej.ANDREJ\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.13\npGoogleOneClick8.dll FF - plugin: p:\adobe\Reader 9.0\Reader\browser\nppdf32.dll FF - plugin: p:\itunes\Mozilla Plugins\npitunes.dll FF - plugin: p:\quicktime\Plugins\npqtplugin.dll FF - plugin: p:\quicktime\Plugins\npqtplugin2.dll FF - plugin: p:\quicktime\Plugins\npqtplugin3.dll FF - plugin: p:\quicktime\Plugins\npqtplugin4.dll FF - plugin: p:\quicktime\Plugins\npqtplugin5.dll FF - plugin: p:\quicktime\Plugins\npqtplugin6.dll FF - plugin: p:\quicktime\Plugins\npqtplugin7.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - j:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: nglayout.initialpaint.delay - 600 FF - user.js: content.notify.interval - 600000 FF - user.js: content.max.tokenizing.time - 1800000 FF - user.js: content.switch.threshold - 600000 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-01-09 16:22 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters] "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79, 00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\ [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*] "7040110900063D11C8EF10054038389C"="J?\\WINDOWS\\system32\\FM20ENU.DLL" "7040710900063D11C8EF10054038389C"="J?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1564) j:\windows\system32\Ati2evxx.dll j:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll j:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll . Zeit der Fertigstellung: 2010-01-09 16:26:02 ComboFix-quarantined-files.txt 2010-01-09 15:25 ComboFix2.txt 2010-01-09 15:07 ComboFix3.txt 2010-01-06 16:10 Vor Suchlauf: 7 Verzeichnis(se), 37.624.586.240 Bytes frei Nach Suchlauf: 8 Verzeichnis(se), 37.605.842.944 Bytes frei - - End Of File - - 97D84F80B73A4261D253ABA6FD6CB779 |
|
|
||
09.01.2010, 19:06
Member
Beiträge: 3716 |
#37
was hat avira gefunden, poste den text der meldungen, zu finden entweder unter berichte oder ereignisse.
wenn das kein ende nimmt, solltest du vllt wirklich neu aufsetzen, das mit der swh de und reaktivieren hast du auch gemacht? |
|
|
||
09.01.2010, 19:22
Member
Themenstarter Beiträge: 24 |
#38
Gestern hat erst Norton Security Check gefunden:
Cookie: Cookie:mein Name@atwola.com/ Und dann, während der Scan lief hat Antivir gefunden: In der Datei 'J:\Dokumente und Einstellungen\Andrej.ANDREJ\Lokale Einstellungen\temp\000003DA' wurde ein Virus oder unerwünschtes Programm 'W32/CTX' [virus] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben In der Datei 'J:\Dokumente und Einstellungen\Andrej.ANDREJ\Lokale Einstellungen\temp\00000363' wurde ein Virus oder unerwünschtes Programm 'W32/CTX' [virus] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben In der Datei 'J:\Dokumente und Einstellungen\Andrej.ANDREJ\Lokale Einstellungen\temp\000003F3' wurde ein Virus oder unerwünschtes Programm 'W32/CTX' [virus] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben In der Datei 'J:\Dokumente und Einstellungen\Andrej.ANDREJ\Lokale Einstellungen\temp\000004AE' wurde ein Virus oder unerwünschtes Programm 'W32/CTX' [virus] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben Wir kriegen das hin, wir sind schon so viele Schritte gelaufen, jetzt springen wir doch nicht in den Abgrund, der heißt: Neuinstallieren! Lasse jetzt, nach einem CCleaner und Neustart nochmal die Online-Scanner Eset und f-secure, anschließend Antivir und Norton Security Cleaner laufen, falls die was finden, melde ich mich. Schönen Samstagabend noch und vielen Dank nochmal. PS.: Ja, Systemwiederherstellung hatte ich deaktiviert, nach 10 Mins etwa wieder aktiviert. Aber ganz ehrlich: Brauch ich die? Will meine Daten ohnehin sichern - aber eben erst, wenn die Dateien clean sind. Dieser Beitrag wurde am 09.01.2010 um 19:25 Uhr von Dubinsky editiert.
|
|
|
||
09.01.2010, 19:30
Member
Beiträge: 3716 |
#39
sind dateien im tempverzeichniss. hast du zusätzliche ordner bereinigen lassen wie beschrieben, also mit dem CCleaner?
http://www.chip.de/downloads/a-squared-Free_12992945.html probier das, klicke scan, eigener scan, wähle alle laufwerke, hake heuristik an, funde in quarantäne, log posten. |
|
|
||
09.01.2010, 20:19
Member
Themenstarter Beiträge: 24 |
#40
Oui, erledigt wie beschrieben. Säubere mit CCleaner auch immer gleich die Registry.
F-Secure Online Check hat gerade nichts gefunden! Statistics Scanned: * Files: 31973 * System: 3892 * Not scanned: 6 Actions: * Disinfected: 0 * Renamed: 0 * Deleted: 0 * Not cleaned: 0 * Submitted: 0 Files not scanned: * J:\PAGEFILE.SYS * J:\WINDOWS\SYSTEM32\CONFIG\DEFAULT * J:\WINDOWS\SYSTEM32\CONFIG\SAM * J:\WINDOWS\SYSTEM32\CONFIG\SECURITY * J:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE * J:\WINDOWS\SYSTEM32\CONFIG\SYSTEM Es geht weiter... |
|
|
||
10.01.2010, 18:55
Member
Themenstarter Beiträge: 24 |
#41
Gestern gechecked mit a-squared free:
a-squared Free - Version 4.5 Letztes Update: 09.01.2010 20:25:34 Scan Einstellungen: Scan Methode: Eigener Scan Objekte: Speicher, Traces, Cookies, J:\, L:\, M:\, P:\, V:\ Archiv Scan: An Heuristik: An ADS Scan: An Scan Beginn: 09.01.2010 20:27:05 J:\System Volume Information\_restore{437DE610-F43E-430E-B188-96FF4A3C592B}\RP1\A0000339.exe gefunden: Worm.Win32.AutoRun.avit!A2 Gescannt Dateien: 115023 Traces: 647025 Cookies: 19 Prozesse: 44 Gefunden Dateien: 1 Traces: 0 Cookies: 0 Prozesse: 0 Registry Keys: 0 Scan Ende: 09.01.2010 21:53:15 Scan Zeit: 1:26:10 J:\System Volume Information\_restore{437DE610-F43E-430E-B188-96FF4A3C592B}\RP1\A0000339.exe Gelöscht Worm.Win32.AutoRun.avit!A2 Gelöscht Dateien: 1 Traces: 0 Cookies: 0 Auch gestern entdeckt von Antivir: In der Datei 'J:\Dokumente und Einstellungen\Andrej.ANDREJ\Lokale Einstellungen\temp\OnlineScanner\updates\aquawin32\cran.cvd' wurde ein Virus oder unerwünschtes Programm 'Trivial-28 (A)' [virus] gefunden. Ausgeführte Aktion: Zugriff verweigern In der Datei 'J:\Dokumente und Einstellungen\Andrej.ANDREJ\Lokale Einstellungen\temp\OnlineScanner\updates\aquawin32\cran.ivd' wurde ein Virus oder unerwünschtes Programm 'HTML/Silly.Gen' [virus] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben In der Datei 'J:\Dokumente und Einstellungen\Andrej.ANDREJ\Lokale Einstellungen\temp\OnlineScanner\updates\aquawin32\jpeg.xmd' wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben In der Datei 'M:\Downloads\Firefox-Downloads\bigmap.zip' wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben Gerade erneut gechecked mit a-squared free: a-squared Free - Version 4.5 Letztes Update: 10.01.2010 16:28:49 Scan Einstellungen: Scan Methode: Eigener Scan Objekte: Speicher, Traces, Cookies, J:\, L:\, M:\, P:\, V:\ Archiv Scan: An Heuristik: An ADS Scan: An Scan Beginn: 10.01.2010 16:31:09 P:\Cisco Systems\VPN Client\ppptool.exe gefunden: Heuristic.Dialer.RAS!A2 Gescannt Dateien: 181711 Traces: 647025 Cookies: 40 Prozesse: 44 Gefunden Dateien: 1 Traces: 0 Cookies: 0 Prozesse: 0 Registry Keys: 0 Scan Ende: 10.01.2010 18:42:48 Scan Zeit: 2:11:39 Die ppptool.exe dürfte aber kein Virus/Trojaner sein, sie ist Bestandteil des VPN-Clients, den ich brauche, um ins Uninetz zu connecten... Während des Scans mit a-squared free meldete sich Antivir zu Worte mit der Meldung: In der Datei 'J:\Dokumente und Einstellungen\Andrej.ANDREJ\Lokale Einstellungen\temp\OnlineScanner\updates\aquawin32\cran.cvd' wurde ein Virus oder unerwünschtes Programm 'Trivial-28 (A)' [virus] gefunden. Ausgeführte Aktion: Zugriff verweigern What to do? Vielen Dank für euer Durchhaltevermögen! |
|
|
||
10.01.2010, 19:13
Member
Beiträge: 3716 |
||
|
||
10.01.2010, 19:22
Member
Themenstarter Beiträge: 24 |
#43
Na, das klingt doch schon sehr positiv!
Gerade läuft ein (abschließender) ESET Online Scan, Log poste ich. Besten Dank und viele Grüße |
|
|
||
10.01.2010, 20:05
Member
Beiträge: 3716 |
#44
den aber auch deinstalieren bitte am schluss.
|
|
|
||
10.01.2010, 22:46
Member
Themenstarter Beiträge: 24 |
#45
Eset Online Scanner hat nichts gefunden, ist deinstalliert.
Combofix ist auch deinstalliert. Software in der Systemsteuerung nach wie vor leer, aber nicht weiter tragisch, da ich über ccleaner Programme deinstallieren kann. Aber falls jemand eine Idee hat, woran das liegt, dadrf er es gerne sagen. Jetzt noch abschließend ein paar Tests und dann nochmal Antivir. Besten Dank für die Hilfe, bin echt froh, dass es am Ende doch noch geklappt hat! Super Forum hier, werde ich weiterempfehlen. Beste Grüße. PS.: Soeben wollte ich den PC auf Windows-Updates checken, das ging nicht. Folgende Meldung kam: "Von Windows Update benötigte Dateien sind nicht mehr auf Ihrem Computer registriert oder installiert. Gehen Sie folgendermaßen vor:" - "Erforderliche Dateien jetzt registrieren oder neu installieren (empfohlen)" Nach einiger Ladezeit erschien: "Die gewünschte Seite kann nicht angezeigt werden, da auf der Website ein Problem aufgetreten ist. Mit den folgenden Optionen kann das Problem möglicherweise behoben werden. " Dieses Problem hatte ich noch nie, bisher ging die Installation von Updates problemlos. Hat hier jemand Rat, die FAQ der Windowsseite half nicht wirklich weiter. Dieser Beitrag wurde am 10.01.2010 um 23:58 Uhr von Dubinsky editiert.
|
|
|
||
hast du den CCleaner noch mal angewendet und geschaut obs läuft?