Entfernung von TR/Dropper.Gen, HTML/Crypted.Gen und HEUR/HTML.Malware |
||
---|---|---|
#0
| ||
17.01.2010, 15:19
Member
Beiträge: 16 |
||
|
||
17.01.2010, 15:22
Member
Themenstarter Beiträge: 16 |
#2
MAlwarebytes-Reinigungslog
Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3581 Windows 6.0.6001 Service Pack 1 Internet Explorer 7.0.6001.18000 17.01.2010 14:14:55 mbam-log-2010-01-17 (14-14-55).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 106164 Laufzeit: 3 minute(s), 51 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: C:\Windows\msa.exe (Trojan.Agent) -> Unloaded process successfully. Infizierte Speichermodule: C:\Windows\System32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\BMIMZMHMFM (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\WS9E3IQBKY (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bmimzmhmfm (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\losalamos (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Windows\msa.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Windows\System32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot. |
|
|
||
17.01.2010, 15:23
Member
Themenstarter Beiträge: 16 |
#3
Hijackthis-Logfile
Logfile of Trend Micro HijackThis v2.0.3 (BETA) Scan saved at 15:05:20, on 17.01.2010 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18349) Boot mode: Normal Running processes: c:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Acer\Empowering Technology\SysMonitor.exe C:\Program Files\Acer\Empowering Technology\Framework.Launcher.exe C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Northstar\SmartCopy\SmartCopy.exe C:\Program Files\Northstar\SmartLauncher\SmartLauncher.exe C:\Windows\ehome\ehmsas.exe C:\Windows\system32\wuauclt.exe C:\Program Files\OpenOffice.org 3\program\soffice.exe C:\Program Files\OpenOffice.org 3\program\soffice.bin C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Program Files\Internet Explorer\ieuser.exe C:\Program Files\Internet Explorer\iexplore.exe c:\PROGRA~1\mcafee\msc\mcuimgr.exe C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - - (no file) O1 - Hosts: ::1 localhost O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file) O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Program Files\Acer\Empowering Technology\SysMonitor.exe O4 - HKLM\..\Run: [EmpoweringTechnology] C:\Program Files\Acer\Empowering Technology\Framework.Launcher.exe boot O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [BkupTray] "C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe" O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [PCMMediaSharing] C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe O4 - Global Startup: SmartCopy.lnk = C:\Program Files\Northstar\SmartCopy\SmartCopy.exe O4 - Global Startup: SmartLauncher.lnk = C:\Program Files\Northstar\SmartLauncher\SmartLauncher.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://express.foto.com/ImageUploader5.cab O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll O23 - Service: Acer HomeMedia Connect Service - CyberLink - C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: NTI Backup Now 5 Agent Service (BUNAgentSvc) - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe -- End of file - 9408 bytes |
|
|
||
17.01.2010, 15:25
Member
Themenstarter Beiträge: 16 |
#4
Uninstall-Liste
Acer Arcade Live Main Page Acer DV Magician Acer DVDivine Acer eDataSecurity Management Acer Empowering Technology Acer eRecovery Management Acer eSettings Management Acer HomeMedia Acer HomeMedia Connect Acer HomeMedia Trial Creator Acer ScreenSaver Acer SlideShow DVD Acer VideoMagician Adobe AIR Adobe AIR Adobe Anchor Service CS4 Adobe Bridge CS4 Adobe CMaps CS4 Adobe Color - Photoshop Specific CS4 Adobe Color EU Recommended Settings CS4 Adobe Color JA Extra Settings CS4 Adobe Color NA Extra Settings CS4 Adobe Color Video Profiles CS CS4 Adobe CSI CS4 Adobe Default Language CS4 Adobe Device Central CS4 Adobe Drive CS4 Adobe ExtendScript Toolkit CS4 Adobe Extension Manager CS4 Adobe Flash Player 10 ActiveX Adobe Flash Player 10 Plugin Adobe Fonts All Adobe Linguistics CS4 Adobe Media Player Adobe Media Player Adobe Output Module Adobe PDF Library Files CS4 Adobe Photoshop CS4 Adobe Photoshop CS4 Adobe Photoshop CS4 Adobe Photoshop CS4 Support Adobe Reader 8.1.0 - Deutsch Adobe Search for Help Adobe Service Manager Extension Adobe Setup Adobe Type Support CS4 Adobe Update Manager CS4 Adobe WinSoft Linguistics Plugin Adobe XMP Panels CS4 AdobeColorCommonSetCMYK AdobeColorCommonSetRGB Akamai NetSession Interface Apple Mobile Device Support Apple Software Update Avira AntiVir Personal - Free Antivirus Bonjour Catalyst Control Center - Branding CCleaner Connect dBpoweramp m4a Codec dBpoweramp Music Converter HiJackThis Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595) Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484) ICQ6.5 iTunes Java(TM) 6 Update 13 kuler Logitech Audio Echo Cancellation Component Logitech Video Enumerator Logitech® Camera-Treiber Malwarebytes' Anti-Malware McAfee SecurityCenter Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Security Update (KB953297) Microsoft .NET Framework 3.5 Language Pack SP1 - deu Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft .NET Framework 3.5 SP1 Microsoft .NET Framework 3.5 SP1 Microsoft Choice Guard Microsoft Silverlight Microsoft Works Mozilla Firefox (3.0.16) MSVCRT MSXML 4.0 SP2 (KB954430) MSXML 4.0 SP2 (KB973688) MVision MyPhoneExplorer NTI Backup Now 5 NTI Media Maker 8 OpenOffice.org 3.1 PDF Settings CS4 Photoshop Camera Raw QuickTime Realtek High Definition Audio Driver Realtek USB 2.0 Card Reader SecondLife (remove only) Security Update for CAPICOM (KB931906) Security Update for CAPICOM (KB931906) SmartCopy SmartLauncher Suite Shared Configuration CS4 TUGZip 3.5 Update for Microsoft .NET Framework 3.5 SP1 (KB963707) Windows Live Anmelde-Assistent Windows Live Call Windows Live Communications Platform Windows Live Essentials Windows Live Essentials Windows Live Messenger Windows Live OneCare safety scanner Windows Live OneCare safety scanner Windows Live-Uploadtool |
|
|
||
17.01.2010, 16:40
Member
Beiträge: 3716 |
#5
Erstelle ein combofix log und versuch dann noch mal gmer
bitte gmer mit rechtsklick als admin starten. |
|
|
||
17.01.2010, 17:34
Member
Themenstarter Beiträge: 16 |
#6
Hier das Combofix log:
ComboFix 10-01-16.04 - Angi 17.01.2010 17:18:17.1.2 - x86 Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.2814.1709 [GMT 1:00] ausgeführt von:: c:\users\Angi\Desktop\ComboFix.exe SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\$recycle.bin\S-1-5-21-2309860981-3529077270-1548828864-500 c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\SmartCopy.lnk c:\users\Angi\AppData\Roaming\.# . ((((((((((((((((((((((( Dateien erstellt von 2009-12-17 bis 2010-01-17 )))))))))))))))))))))))))))))) . 2010-01-17 14:02 . 2010-01-17 14:02 388096 ----a-r- c:\users\Angi\AppData\Roaming\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe 2010-01-17 14:02 . 2010-01-17 14:02 -------- d-----w- c:\program files\TrendMicro 2010-01-17 13:20 . 2010-01-17 13:20 93056 ----a-w- C:\fgtdrpod.sys 2010-01-17 13:07 . 2010-01-17 13:07 -------- d-----w- c:\users\Angi\AppData\Roaming\Malwarebytes 2010-01-17 13:07 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-01-17 13:07 . 2010-01-17 13:07 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-01-17 13:07 . 2010-01-17 13:07 -------- d-----w- c:\programdata\Malwarebytes 2010-01-17 13:07 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-01-16 16:57 . 2010-01-16 16:57 -------- d-----w- c:\program files\CCleaner 2010-01-15 10:47 . 2010-01-15 10:47 1273592 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll 2010-01-13 18:33 . 2010-01-13 18:33 -------- d-----w- c:\users\Angi\AppData\Local\Seven Zip 2010-01-13 11:19 . 2009-10-19 14:27 156672 ----a-w- c:\windows\system32\t2embed.dll 2010-01-13 11:19 . 2009-10-19 14:24 72704 ----a-w- c:\windows\system32\fontsub.dll 2010-01-02 20:22 . 2007-03-12 22:34 162304 ----a-w- c:\windows\system32\ztvunrar36.dll 2010-01-02 20:22 . 2007-03-12 22:34 77312 ----a-w- c:\windows\system32\ztvunace26.dll 2010-01-02 20:22 . 2007-03-12 22:34 69632 ----a-w- c:\windows\system32\ztvcabinet.dll 2010-01-02 20:22 . 2010-01-02 20:22 -------- d-----w- c:\program files\TUGZip 2010-01-02 14:44 . 2010-01-02 14:45 -------- d-----w- c:\program files\Windows Live Safety Center 2010-01-01 11:23 . 2010-01-16 13:14 -------- d-----w- c:\programdata\FLEXnet 2010-01-01 11:19 . 2010-01-01 11:19 -------- d-----w- c:\program files\Adobe Media Player 2010-01-01 11:17 . 2010-01-01 11:17 -------- d-----w- c:\program files\Common Files\Adobe AIR 2010-01-01 11:14 . 2010-01-01 11:14 -------- d-----w- c:\program files\Common Files\Macrovision Shared 2010-01-01 10:52 . 2010-01-17 16:22 -------- d-----w- c:\program files\Common Files\Akamai 2009-12-23 18:35 . 2009-12-23 18:35 -------- d-----w- c:\program files\Microsoft 2009-12-23 18:35 . 2009-12-23 18:35 -------- d-----w- c:\program files\Windows Live 2009-12-23 18:35 . 2009-12-23 18:35 -------- d-----w- c:\windows\PCHEALTH . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-01-17 13:58 . 2008-01-21 07:15 664044 ----a-w- c:\windows\system32\perfh007.dat 2010-01-17 13:58 . 2008-01-21 07:15 142416 ----a-w- c:\windows\system32\perfc007.dat 2010-01-16 13:55 . 2009-03-14 09:38 -------- d-----w- c:\program files\ICQ6.5 2010-01-14 11:31 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail 2010-01-01 11:23 . 2008-11-21 14:54 73448 ----a-w- c:\users\Angi\AppData\Local\GDIPFONTCACHEV1.DAT 2010-01-01 11:20 . 2008-03-16 14:33 -------- d-----w- c:\program files\Common Files\Adobe 2009-11-26 15:38 . 2009-08-02 16:05 1 ----a-w- c:\users\Angi\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2009-11-09 13:22 . 2009-12-12 02:00 24064 ----a-w- c:\windows\system32\nshhttp.dll 2009-11-09 13:20 . 2009-12-12 02:00 31232 ----a-w- c:\windows\system32\httpapi.dll 2009-11-09 11:04 . 2009-12-12 02:00 411136 ----a-w- c:\windows\system32\drivers\http.sys 2009-11-02 19:42 . 2009-10-02 16:15 195456 ------w- c:\windows\system32\MpSigStub.exe 2009-10-29 09:41 . 2009-11-26 15:42 2048 ----a-w- c:\windows\system32\tzres.dll 2009-10-27 13:20 . 2009-12-10 22:09 833024 ----a-w- c:\windows\system32\wininet.dll 2009-10-27 13:16 . 2009-12-10 22:09 78336 ----a-w- c:\windows\system32\ieencode.dll 2009-10-27 10:55 . 2009-12-10 22:09 26624 ----a-w- c:\windows\system32\ieUnatt.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP] @="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}" [HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}] 2008-07-29 16:52 121392 ----a-w- c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184] "Acer Empowering Technology Monitor"="c:\program files\Acer\Empowering Technology\SysMonitor.exe" [2008-06-02 319488] "EmpoweringTechnology"="c:\program files\Acer\Empowering Technology\Framework.Launcher.exe" [2008-06-02 319488] "mcagent_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2007-08-03 582992] "eDataSecurity Loader"="c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe" [2008-07-29 526896] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048] "BkupTray"="c:\program files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe" [2008-04-25 28672] "RtHDVCpl"="RtHDVCpl.exe" [2008-05-20 6144000] "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "PCMMediaSharing"="c:\program files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe" [2008-05-20 204908] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136] "AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712] "Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-01-07 1394000] c:\users\Angi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ SmartLauncher.lnk - c:\program files\Northstar\SmartLauncher\SmartLauncher.exe [2008-11-21 335872] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux1"=wdmaud.drv [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware] "DisableMonitoring"=dword:00000001 R2 Acer HomeMedia Connect Service;Acer HomeMedia Connect Service;c:\program files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe [21.11.2008 16:53 269448] R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [21.01.2008 03:23 21504] R2 BUNAgentSvc;NTI Backup Now 5 Agent Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe [03.03.2008 13:11 16384] R2 ETService;Empowering Technology Service;c:\program files\Acer\Empowering Technology\Service\ETService.exe [16.03.2008 15:24 24576] R2 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [25.04.2008 21:36 45056] S2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [25.04.2008 21:36 131072] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] Akamai REG_MULTI_SZ Akamai . Inhalt des "geplante Tasks" Ordners 2009-11-15 c:\windows\Tasks\McDefragTask.job - c:\progra~1\mcafee\mqc\QcConsol.exe [2008-11-21 12:32] 2009-12-31 c:\windows\Tasks\McQcTask.job - c:\progra~1\mcafee\mqc\QcConsol.exe [2008-11-21 12:32] . . ------- Zusätzlicher Suchlauf ------- . mStart Page = hxxp://de.intl.acer.yahoo.com uInternet Settings,ProxyOverride = *.local IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\users\Angi\AppData\Roaming\Mozilla\Firefox\Profiles\cn1qnwnp.default\ FF - prefs.js: browser.startup.homepage - hxxp://de.msn.com/ FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-AdobeBridge - (no file) HKLM-Run-eRecoveryService - (no file) ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-01-17 17:23 Windows 6.0.6001 Service Pack 1 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Akamai] "ServiceDll"="C:/Program Files/Common Files/Akamai/rswin_3629.dll" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Akamai] "ServiceDll"="C:/Program Files/Common Files/Akamai/rswin_3629.dll" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . Zeit der Fertigstellung: 2010-01-17 17:25:11 ComboFix-quarantined-files.txt 2010-01-17 16:25 Vor Suchlauf: 8 Verzeichnis(se), 67.643.703.296 Bytes frei Nach Suchlauf: 11 Verzeichnis(se), 67.592.757.248 Bytes frei - - End Of File - - 5286873F98124B9EB976F868709ECE0F |
|
|
||
17.01.2010, 18:02
Member
Beiträge: 3716 |
#7
ok weiter mit gmer
|
|
|
||
17.01.2010, 18:15
Member
Themenstarter Beiträge: 16 |
#8
habs eben nochmal probiert...es läuft eine ganze Weile und irgendwann bleibt es hängen. Und wenn ich dann irgendwas klicken will geht garnix mehr
kannst Du denn aus den geposteten Sachen irgendwas erkennen? ich kenn mich da ja leider überhauptnicht aus.... ich hab auch vorhin nochmal Malwarebytes drüberscannen lassen (diesmal aber einen vollständigen Scan und keinen Quick-Scan) und das hat nichts mehr gefunden... Dieser Beitrag wurde am 17.01.2010 um 18:26 Uhr von Rosalie editiert.
|
|
|
||
17.01.2010, 18:43
Member
Beiträge: 3716 |
#9
ok versuch folgendes.
http://www.hijackthis-forum.de/tipps-tricks/25986-ccleaner-anleitung.html bitte registry und zusätzliche ordner bereinigen. http://support.microsoft.com/kb/927177/de systemsteuerung erst de und dann reaktivieren. http://www.windows-tweaks.info/html/nosysrec.html Dann schalte alle laufenden programme wie avira ab, trenne die internetverbindung, starte dann gmer, arbeite nicht am pc und lass es laufen. starten mit rechtsklick und als admin. ps wenn du die systemsteuerung deaktiviert hast, ist der haken draußen, einfach wieder aktivieren so das systemwiederherstellung wieder aktiev ist. Dieser Beitrag wurde am 17.01.2010 um 19:44 Uhr von virenfinder editiert.
|
|
|
||
17.01.2010, 18:53
Member
Beiträge: 3716 |
#10
warum hast du n neuen thread eröffnet.
|
|
|
||
17.01.2010, 19:00
Member
Themenstarter Beiträge: 16 |
#11
wie kann man denn die registry und zusätzliche Ordner bereinigen? sorry, aber wie gesagt ist das für mich Neuland. Und wie man die systemsteuerung de- und reaktiviert ist mir auch ein Rätsel Wäre nett wenn Du mir das ein bisschen ausführlicher erklären könntest
|
|
|
||
17.01.2010, 19:02
Member
Themenstarter Beiträge: 16 |
#12
Zitat virenfinder posteteich war mir nicht sicher ob das hier das richtige Thema für meinen Thread ist... |
|
|
||
17.01.2010, 19:44
Member
Beiträge: 3716 |
#13
hab meinen beitrag von oben bearbeitet.
|
|
|
||
17.01.2010, 21:01
Member
Themenstarter Beiträge: 16 |
#14
sooo, nachdem ich das ganze nun nochmal versucht habe und Deine Anweisungen ganz genau befolgt habe, hat es trotzdem nicht funktioniert. Gmer ist ca eine halbe Stunde gelaufen und hat sich dann aufgehängt
Was nun? kann man denn ohne gmer nichts machen? |
|
|
||
17.01.2010, 21:38
Member
Beiträge: 3716 |
#15
doch, öffne erst mal avira, dann quarantäne und leere sie.
http://board.protecus.de/t29351.htm drweb cureit nach anleitung ausführen, bitte aber die heuristik aktiev lassen. log posten. |
|
|
||
ich habe seit gestern ein Problem mit den oben genannten Viren. Da das für mich absolutes Neuland ist habe ich ein bisschen gegoogelt und bin auf dieses Forum gestoßen. Es wäre wirklich schön, wenn mir jemand dabei helfen könnte, diese Viren loszuwerden. Formatieren möchte ich wirklich nur wenn es garkeine andere Möglichkeit gibt.
ICh hab auch schon einen Scan mit Malwarebytes durchgeführt. Einen Gmer-Report wollte ich auch erstellen, aber aus welchen Gründen auch immer stürzt mir dabei immer das System ab
Das Malwarebytes-Reinigungslog, eine Hijackthis-Logfile und eine Uninstall-Liste poste ich direkt hinterher.
ICh wäre euch echt dankbar, wenn ihr mir dabei helft....
Lg
Was ich vielleicht auch noch erwähnen sollte:
Ich habe AviraAV und bin einfach mal dem Pfad gefolgt, den AviraAV mir beim Virenalarm angezeigt hat. (C:\Users\Angi\AppData\Local\Microsoft\Windows\Temporary Internet Files).
Der ganze Ordner war voll mit hunderten von Dateien...alles irgendwelche Pornoseiten usw.
Ich hab die dann einfach mal alle markiert und gelöscht, hab den Ordner danach geschlossen und hab ihn nochmal neu geöffnet - und schwubs waren wieder hunderte von Dateien da
Das ist jetzt allerdings nicht mehr so...ist völlig leer und bleibt auch leer. Kann der MAlwarebytes-Scan schon geholfen haben?!