Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Benötige Hilfe beim Enfernen von Viren/Trojanern

Benötige Hilfe beim Enfernen von Viren/Trojanern


Plagegeister aller Art und deren Bekämpfung: Benötige Hilfe beim Enfernen von Viren/Trojanern

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 19.06.2007, 21:20   #1
JBo
 
Benötige Hilfe beim Enfernen von Viren/Trojanern - Pfeil

Benötige Hilfe beim Enfernen von Viren/Trojanern


Moinsen,
ich hoffe es nimmt mir keiner Übel, dass ich mich erst jetzt wegen meinem Problem hier angemeldet habe, aber ich kenn mich wenig mit PCs und Foren und so etwas aus...

Also die Sache ist:
- mein Virenscaner (Avira Antivir Classic) findet massig Viren, die ich zwar in Quarantäne schiebe, die aber nach kurzer Zeit schon wieder auftauchen.
(z.B.
  • Spx.vbstat.b.1
  • vundo.gen
  • agend.aoy.t
  • agend.anr.1
  • bho.g.41
  • usw.
- diese Viren befinden sich laut Scaner in meinen Anwendungsdateien und den Temp Dateien und irgendwo in den Mozilla-Dateien (ich benutze Firefox)
- Mein Intenet Explorer öffnet sich plötzlich und eine Seite erschein auf der behauptetwird, ich hätte Viren (was ja nicht ganz falsch ist) und ich sollte was runterladen um diese zu bekämpfen) Die Seite heißt "drivecleaner" oder so.

Was ich versucht habe:
- natürlich die Viren zu löschen, Neustart auszuführen und dann nochmal das system nach den Namen durchsuchen (erfolglos )
- die ganze Sache mit HijachThis scanen und das Logfile uploaden, wobei ich leider nicht besonders gut durchgestigen bin (wie gesagt, ich hab keine Ahnung von so was)
-meinen Pc zu hauen was leider auch nix bewirkt hat.

naja, hier noch mal das HijackThis logfile (bei dem ich nicht weiß, wie es mir helfen soll):
Logfile of HijackThis v1.99.1
Scan saved at 22:18:09, on 19.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\xProgramme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\spoolsv.exe
C:\xProgramme\seamonkey\seamonkey.exe
C:\WINDOWS\system32\ctfmon.exe
C:\xProgramme\Trojancheck 6\tcguard.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Jonathan\Eigene Dateien\LAN\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h..p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h..p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h..p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h..p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h..p://windowsupdate.microsoft.com/
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\nrwvfgoj.dll",realset
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O11 - Options group: [INTERNATIONAL] International*
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\xProgramme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

- Wäre echt nett, wenn sich irgendjemand erbarmen würde

vielen Dank Joni

Alt 19.06.2007, 22:14   #2
nochdigger
 
Benötige Hilfe beim Enfernen von Viren/Trojanern - Standard

Benötige Hilfe beim Enfernen von Viren/Trojanern


Hallo

Zitat:
Wäre echt nett, wenn sich irgendjemand erbarmen würde
erbamen?
ist es so schlimm hier?

Mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.
Benenne die Hijackthis.exe um in z.B. ABC.exe und erstelle ein neues Log, dann lade dir Smidfraudfix
halte dich an die Anleitung und poste den rapport1.txt von vor und den rapport2.txt nach der Bereinigung.

MFG
__________________
Alt 19.06.2007, 22:57   #3
JBo
 
Benötige Hilfe beim Enfernen von Viren/Trojanern - Standard

Benötige Hilfe beim Enfernen von Viren/Trojanern


Okay, danke für die Hilfe erstmal,
ich hab das HijackThis file noch mal neu gemacht, aber es hatte den gleichen Inhalt.
Außerdem habe ich den Test mit SmidFraudFix gemacht
hier sind die logfiles (ich hoffe, dass ich sie nicht verwechselt habe, weil ich mit den Versionen durcheinandergekommen bin und nicht wollte, dass die erste überschrieben wird):
Vorher:

SmitFraudFix v2.195

Scan done at 23:39:02,68, 19.06.2007
Run from C:\Dokumente und Einstellungen\J*****\Eigene Dateien\LAN\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\xProgramme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\xProgramme\seamonkey\seamonkey.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\J***n


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\J****\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\J***\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce MCP Networking Controller - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{DB806154-6602-4884-B0C4-251CC07D40FC}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{DB806154-6602-4884-B0C4-251CC07D40FC}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{DB806154-6602-4884-B0C4-251CC07D40FC}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


Und Nacher:

SmitFraudFix v2.195

Scan done at 23:40:11,51, 19.06.2007
Run from C:\Dokumente und Einstellungen\J***\Eigene Dateien\LAN\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{DB806154-6602-4884-B0C4-251CC07D40FC}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{DB806154-6602-4884-B0C4-251CC07D40FC}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{DB806154-6602-4884-B0C4-251CC07D40FC}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



Als ich dann wieder in den normalen Windows mode gegangen bin, kamen allerdings sofort wieder die virenmeldungen
-bho.g.14
-Spy.VBStat.B.1

ganz ehrlich hab ich keine Ahnung, was ich jetzt versuche kann.
__________________
Alt 20.06.2007, 07:32   #4
nochdigger
 
Benötige Hilfe beim Enfernen von Viren/Trojanern - Standard

Benötige Hilfe beim Enfernen von Viren/Trojanern


Moin

Zitat:
ich hab das HijackThis file noch mal neu gemacht, aber es hatte den gleichen Inhalt.
hast du vorher die Hijackthis.exe umbenannt?

Zitat:
* Spx.vbstat.b.1
* vundo.gen
* agend.aoy.t
* agend.anr.1
* bho.g.41
* usw.
Wo genau (Pfad/Dateiname) werden diese Schädlinge gefunden?
Was für ein Schädling soll "usw." sein?
Das Beste wird sein, du postest mal das letzte Log von AntiVir.


Zur weiteren Überprüfung lade dir mal Silentrunners
und lasse es dein System scannen, anschließend poste das Log, dann lade dir mal die Filelist.zip

1.) Lade dir die Filelist.zip auf den Desktop
2.) entpacke die Zip-Datei auf deinen Desktop
3.) starte den Rechner neu
4.) öffne die auf dem Desktop vorhandene filelist.bat mit Doppelklick auf die Datei
5.) dein Editor (Textverarbeitungsprogramm) wird sich öffnen
6.) markiere von diesen Inhalt aus jedem Verzeichnis jeweils nur die letzten 30 Tage, wähle kopieren, poste den Inhalt dieser Dateien
in nächsten Beitrag
(es werden von diesen 8 Ordnern Abblilder erstellt :C:\, C:\WINDOWS\system, C:\WINDOWS\system32, C:\WINDOWS,
C:\WINDOWS\Prefetch, C:\WINDOWS\tasks, C:\WINDOWS\Temp, C:\DOCUME~1\Name\LOCALS~1\Temp).

MFG

Alt 20.06.2007, 07:46   #5
JBo
 
Benötige Hilfe beim Enfernen von Viren/Trojanern - Standard

Benötige Hilfe beim Enfernen von Viren/Trojanern


hier erstmal das Log von Antivir Guard - ich hoffe, dass das das Richtige ist. ist nur ein kleiner Ausschnitt, aber die Datei ist fast 30 Seiten lang
25.05.2007,16:18:38 [WARNUNG] Ist das Trojanische Pferd TR/Spy.VBStat.B.1!
C:\Dokumente und Einstellungen\J***\Lokale Einstellungen\Temp\teqywbsw.dll
[INFO] Die Datei wird in das Quarantäneverzeichnis verschoben!
25.05.2007,16:18:38 [WARNUNG] Ist das Trojanische Pferd TR/Spy.VBStat.B.1!
C:\Dokumente und Einstellungen\J***\Lokale Einstellungen\Temp\teqywbsw.dll
[FEHLER] Die Datei konnte nicht in das Quarantäneverzeichnis verschoben werden!
[FEHLER] Verschieben in Quarantäne: Quelldatei kann nicht gelesen werden.
25.05.2007,16:22:06 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Nur Dateien mit der folgender Dateierweiterung prüfen: . .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL
.VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP
- Laufzeitgepackte Dateien entpacken
- Aktion: Benutzer fragen
- Makrovirenheuristik: MACRO , WIN32 MITTEL
- Protokollierungsstufe: 1
25.05.2007,16:49:31 Der Avira AntiVir PersonalEdition Classic Dienst wurde beendet!
25.05.2007,17:58:41 ---------------------------------------------------------
25.05.2007,17:58:46 Lizenzdatei enthält eine gültige Lizenz. Der Avira AntiVir PersonalEdition Classic Dienst läuft als uneingeschränkte Vollversion!
25.05.2007,17:58:46 AntiVir Guard version: 7.00.00.52, engine version 7.4.0.27, VDF version: 6.38.1.192
25.05.2007,17:58:48 Start Filter Device.
25.05.2007,17:58:48 Der Avira AntiVir PersonalEdition Classic Dienst wurde erfolgreich gestartet!
25.05.2007,17:58:48 [CONFIG] Verwendete Konfiguration der Echtzeitsuche:
- Geprüfte Dateien: Dateien von lokalen Laufwerken prüfen
- Gerätemodus: Datei beim Öffnen durchsuchen, Datei nach Schließen durchsuchen
- Nur Dateien mit der folgender Dateierweiterung prüfen: . .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL
.VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP
- Laufzeitgepackte Dateien entpacken
- Aktion: Benutzer fragen
- Makrovirenheuristik: MACRO , WIN32 MITTEL
- Protokollierungsstufe: 1
25.05.2007,18:01:50 [WARNUNG] Ist das Trojanische Pferd TR/Spy.VBStat.B.1!

25.05.2007,22:25:09 [WARNUNG] Ist das Trojanische Pferd TR/Vundo.Gen!
C:\Dokumente und Einstellungen\J**\Lokale Einstellungen\Temp\qjlnalow.dll
[INFO] Die Datei wird gelöscht!
25.05.2007,22:28:25 [WARNUNG] Ist das Trojanische Pferd TR/Spy.VBStat.B.1!
C:\Dokumente und Einstellungen\J**\Lokale Einstellungen\Temp\hoqnwgtm.dll
[INFO] Die Datei wird gelöscht!
25.05.2007,22:28:25 [WARNUNG] Ist das Trojanische Pferd TR/Spy.VBStat.B.1!
C:\Dokumente und Einstellungen\J**\Lokale Einstellungen\Temp\hoqnwgtm.dll
[INFO] Die Datei wird gelöscht!
25.05.2007,22:31:02 Der Avira AntiVir PersonalEdition Classic Dienst wurde beendet!
Zitat:
hast du vorher die Hijackthis.exe umbenannt?
ja, hab ich umbenannt, aber bis auf den Programmnamen hat sich soweit ich das gesehen habe nichts im logfile geändert

das mit Silentrunner versuche ich so bald wie möglich


Alt 20.06.2007, 13:25   #6
JBo
 
Benötige Hilfe beim Enfernen von Viren/Trojanern - Standard

Benötige Hilfe beim Enfernen von Viren/Trojanern


Hi,

Also erstmal das log von Silentrunner:
"Silent Runners.vbs", revision R50, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"GPLv3" = "rundll32.exe "C:\WINDOWS\system32\ekmegmsw.dll",realset" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{B5CD6583-2B13-466F-8F47-15E473E1310F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\ddaba.dll" [null data]
{F36CCFBD-8FAA-4872-8576-15C88BC7B319}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\yaywwtt.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{F5D92341-0A64-11D0-9956-0000E8096023}" = "CD Copy Shell Extension"
-> {HKLM...CLSID} = "CD Copy Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWshext.dll" ["Pinnacle Systems, Inc."]
"{F5D92342-0A64-11D0-9956-0000E8096023}" = "CD Wizard Shell Extension"
-> {HKLM...CLSID} = "CD Wizard Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWshext.dll" ["Pinnacle Systems, Inc."]
"{F5D92344-0A64-11D0-9956-0000E8096023}" = "InstantWrite Shellextension"
-> {HKLM...CLSID} = "InstantWrite Shellextension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\iwshex.dll" ["Pinnacle Systems, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
-> {HKLM...CLSID} = "Desktop-Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\xProgramme\WinRAR\rarext.dll" [null data]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "C:\XPROGR~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\xProgramme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]
"{7EFFC96D-F303-49CB-9E98-1E593A9D2836}" = "cm4ilock"
-> {HKLM...CLSID} = "cm4ilock.ShellExt"
\InProcServer32\(Default) = "C:\xProgramme\Instant Lock\cm4ilock.dll" ["Maratuga Inc. I"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{F36CCFBD-8FAA-4872-8576-15C88BC7B319}" = "*b" (unwritable string)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\yaywwtt.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> ddaba\DLLName = "C:\WINDOWS\system32\ddaba.dll" [null data]
<<!>> yaywwtt\DLLName = "yaywwtt.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
cm4ilock\(Default) = "{7EFFC96D-F303-49CB-9E98-1E593A9D2836}"
-> {HKLM...CLSID} = "cm4ilock.ShellExt"
\InProcServer32\(Default) = "C:\xProgramme\Instant Lock\cm4ilock.dll" ["Maratuga Inc. I"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\xProgramme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\xProgramme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
cm4ilock\(Default) = "{7EFFC96D-F303-49CB-9E98-1E593A9D2836}"
-> {HKLM...CLSID} = "cm4ilock.ShellExt"
\InProcServer32\(Default) = "C:\xProgramme\Instant Lock\cm4ilock.dll" ["Maratuga Inc. I"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\xProgramme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\xProgramme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\xProgramme\WinRAR\rarext.dll" [null data]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Jonathan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\xProgramme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ad-Aware 2007 Service, aawservice, ""C:\xProgramme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft AB"]
AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
LightScribeService Direct Disc Labeling Service, LightScribeService, ""C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe"" ["Hewlett-Packard Company"]
NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}


----------
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 57 seconds, including 20 seconds for message boxes)
langsam bekomme ich das gefühl, dass ich diese Logfiles hasse
das mit dem Filelist.zip probiere ich auch gleich...

Alt 20.06.2007, 13:43   #7
JBo
 
Benötige Hilfe beim Enfernen von Viren/Trojanern - Standard

Benötige Hilfe beim Enfernen von Viren/Trojanern


okay, jetzt kommen auch noch die Daten von Filelist.zip, ich hoffe ich mache alles richtigwar mir nicht sicher ob die letzten 30 Tage vom Datum her oder die letzten 30 angezeigten)

Verzeichnis von C:\

20.06.2007 14:31 43 filelist.txt
20.06.2007 14:29 536.403.968 hiberfil.sys
20.06.2007 14:29 805.306.368 pagefile.sys
19.06.2007 23:52 3.133 rapport.txt
19.06.2007 23:41 1.819 rapportdone.txt
18.06.2007 16:19 55.864 ilock.log
18.06.2007 15:56 409 boot.ini
16.06.2007 22:16 13.312 preview1.grf
Verzeichnis von C:\WINDOWS

20.06.2007 14:30 0 0.log
20.06.2007 14:30 1.173.777 WindowsUpdate.log
20.06.2007 14:29 2.048 bootstat.dat
20.06.2007 14:28 32.608 SchedLgU.Txt
19.06.2007 23:41 217.915 setupact.log
19.06.2007 23:41 248.824 ntbtlog.txt
19.06.2007 20:55 706.743 setupapi.log
18.06.2007 17:46 164.615 wmsetup.log
16.06.2007 22:18 109 TSNV_I2C.INI
16.06.2007 22:18 196 tsctv.ini
16.06.2007 22:16 2.280 TSCTNDBG.INI
16.06.2007 22:16 21.329 Tsctvfm.ini
16.06.2007 22:16 116 NeroDigital.ini
13.06.2007 08:33 1.374 imsins.log
13.06.2007 08:33 188.642 ntdtcsetup.log
13.06.2007 08:33 299.785 comsetup.log
13.06.2007 08:33 336.109 tsoc.log
13.06.2007 08:33 43.657 ocmsn.log
13.06.2007 08:33 131.721 iis6.log
13.06.2007 08:33 18.871 KB929123.log
13.06.2007 08:33 445.525 ocgen.log
13.06.2007 08:33 43.427 msgsocm.log
13.06.2007 08:33 839.482 FaxSetup.log
13.06.2007 08:32 1.374 imsins.BAK
13.06.2007 08:32 18.094 KB935840.log
13.06.2007 08:31 17.739 KB935839.log
13.06.2007 08:30 23.288 KB933566-IE7.log
13.06.2007 08:30 52.614 updspapi.log
12.06.2007 17:12 3.754 mozver.dat
10.06.2007 14:58 669 win.ini
10.06.2007 14:58 227 system.ini
02.06.2007 16:08 494 wiadebug.log
02.06.2007 15:03 50 wiaservc.log
01.06.2007 14:54 6.537 mgxoschk.ini
25.05.2007 18:06 18.589 KB931768-IE7.log
25.05.2007 18:03 45.298 KB929969.log
25.05.2007 17:59 72.271 spupdsvc.log
25.05.2007 16:48 23.032 ie7_main.log
25.05.2007 16:42 48.411 ie7.log
25.05.2007 16:39 7.721 IDNMitigationAPIs.log
25.05.2007 16:39 7.391 NLSDownlevelMapping.log
25.05.2007 16:38 7.525 KB915865.log
25.05.2007 16:36 5.050 KB914440.log
25.05.2007 16:36 36.132 KB932168.log
25.05.2007 16:36 11.170 KB904942.log
25.05.2007 16:04 8.295 KB927891.log
25.05.2007 16:02 4.923 WgaNotify.log
25.05.2007 16:01 7.345 KB929399.log
19.05.2007 22:32 113.937 DirectX.log
17.05.2007 16:47 514 wmsetup10.log
17.05.2007 16:47 5.053 KB926239.log
17.05.2007 16:46 3.328 MSCompPackV1.log
17.05.2007 16:46 14.865 wmp11.log
17.05.2007 16:45 22.828 WMFDist11.log
17.05.2007 16:44 8.498 Wudf01000Inst.log
Verzeichnis von C:\WINDOWS\system

04.08.2004 00:58 146.944 winspool.drv
04.08.2004 00:37 69.632 mmsystem.dll
02.04.2003 14:00 2.000 KEYBOARD.DRV
Verzeichnis von C:\WINDOWS\system32

20.06.2007 14:31 900.963 wsmgemke.ini
20.06.2007 14:31 735.238 abadd.ini2
20.06.2007 14:21 124.436 ekmegmsw.dll
20.06.2007 14:15 927.803 abadd.bak2
20.06.2007 14:15 901.984 gaxmwobb.ini
20.06.2007 07:40 901.984 pwwcaxgp.ini
19.06.2007 23:48 0 tmp.txt
19.06.2007 23:48 1.392 tmp.reg
19.06.2007 23:43 901.985 xtfmwmyi.ini
19.06.2007 21:52 143 mcrh.tmp
19.06.2007 21:34 892.716 jogfvwrn.ini
19.06.2007 21:05 124.436 nrwvfgoj.dll
19.06.2007 20:54 900.979 yuhgvjim.ini
19.06.2007 20:54 294 ovokstmu.ini
19.06.2007 20:53 132.660 umtskovo.dll
19.06.2007 17:14 898.596 wwvgplef.ini
19.06.2007 17:03 922.369 ycbujgyt.ini
19.06.2007 17:03 898.594 hsbsvxkg.ini
19.06.2007 17:03 928.749 abadd.bak1
18.06.2007 21:34 124.436 tygjubcy.dll
18.06.2007 21:28 922.189 ayhkcree.ini
18.06.2007 15:44 922.078 lrqbmaap.ini
17.06.2007 18:28 921.950 pmojinwv.ini
17.06.2007 09:16 405 ythcebao.ini
16.06.2007 18:39 922.430 awyvjqct.ini
16.06.2007 18:39 124.436 tcqjvywa.dll
16.06.2007 18:34 922.370 keslpxmf.ini
16.06.2007 13:32 922.190 emdvtuvx.ini
16.06.2007 11:27 922.069 srfvymko.ini
15.06.2007 17:12 921.958 mgtcrxbd.ini
15.06.2007 14:01 921.828 tkgwtxnc.ini
15.06.2007 13:57 1.158 wpa.dbl
06.06.2007 08:38 15.747.032 MRT.exe
02.06.2007 13:20 1.102.599 ccpvwkac.ini
02.06.2007 13:19 284.520 FNTCACHE.DAT
30.05.2007 07:47 132.660 cakwvpcc.dll
Verzeichnis von C:\WINDOWS\Prefetch

20.06.2007 14:28 56.508 WINRAR.EXE-20212FAF.pf
20.06.2007 14:27 23.418 GUARDGUI.EXE-1BD45C30.pf
20.06.2007 14:26 20.458 RUNDLL32.EXE-268BFF96.pf
20.06.2007 14:26 23.084 NOTEPAD.EXE-336351A9.pf
20.06.2007 14:24 81.810 IEXPLORE.EXE-2CA9778D.pf
20.06.2007 14:22 79.688 TASKMGR.EXE-20256C55.pf
20.06.2007 14:21 46.726 WMIPRVSE.EXE-28F301A9.pf
20.06.2007 14:21 34.042 WSCRIPT.EXE-32960AB9.pf
20.06.2007 14:20 20.772 VERCLSID.EXE-3667BD89.pf
20.06.2007 14:16 75.530 WUAUCLT.EXE-399A8E72.pf
20.06.2007 14:16 1.056.652 NTOSBOOT-B00DFAAD.pf
20.06.2007 09:03 27.502 TU_LOGONUI.EXE-381C5638.pf
20.06.2007 08:47 73.236 FIREFOX.EXE-1D57670A.pf
20.06.2007 08:44 53.790 AVCENTER.EXE-37584419.pf
20.06.2007 08:38 32.522 WKDSTORE.EXE-31475208.pf
20.06.2007 08:38 74.852 WINWORD.EXE-259486DA.pf
20.06.2007 08:34 87.352 SEAMONKEY.EXE-3AFB0BB9.pf
20.06.2007 08:18 46.258 DFRGNTFS.EXE-269967DF.pf
20.06.2007 08:18 16.090 DEFRAG.EXE-273F131E.pf
20.06.2007 08:17 474.184 Layout.ini
20.06.2007 07:49 103.020 VLC.EXE-3AB5674B.pf
20.06.2007 07:49 21.856 SNDVOL32.EXE-383480B7.pf
20.06.2007 07:48 150.016 WMPLAYER.EXE-0996933A.pf
20.06.2007 07:44 50.386 AVSCAN.EXE-05AECC0E.pf
19.06.2007 23:48 17.472 NOTEPAD.EXE-189578DA.pf
19.06.2007 23:48 13.724 FINDSTR.EXE-0CA6274B.pf
19.06.2007 23:48 36.032 CSCRIPT.EXE-1C26180C.pf
19.06.2007 23:48 7.148 DUMPHIVE.EXE-19425CA8.pf
19.06.2007 23:48 8.344 SWREG.EXE-3036C756.pf
19.06.2007 23:48 5.042 SRCHSTS.EXE-30539EB8.pf
19.06.2007 23:48 12.204 REGEDIT.EXE-1B606482.pf
19.06.2007 23:48 7.004 SWREG.EXE-3688D00C.pf
19.06.2007 23:48 20.540 CMD.EXE-087B4001.pf
19.06.2007 23:47 13.962 CHKNTFS.EXE-31921D64.pf
19.06.2007 23:47 11.812 FIND.EXE-0EC32F1E.pf
19.06.2007 23:47 16.094 SMITFRAUDFIX.EXE-075E4514.pf
19.06.2007 23:23 80.708 AVNOTIFY.EXE-22AE9451.pf
19.06.2007 23:20 47.846 JACKASNACK.EXE-2549442E.pf
19.06.2007 23:09 108.272 QIP.EXE-372742EE.pf
19.06.2007 22:18 57.768 HIJACKTHIS.EXE-1DE9FE4E.pf
19.06.2007 21:52 17.276 IMAPI.EXE-0BF740A4.pf
19.06.2007 21:52 132.862 EXPLORER.EXE-082F38A9.pf
19.06.2007 21:50 13.420 TCGUARD.EXE-083A4235.pf
19.06.2007 21:48 18.264 TC6.EXE-1A987FF1.pf
19.06.2007 21:48 20.244 INS38.TMP-12B3E571.pf
19.06.2007 21:48 12.668 TROJANERCHECK.EXE-10047BFA.pf
19.06.2007 21:46 19.930 CTFMON.EXE-0E17969B.pf
19.06.2007 21:36 43.722 UPDATE.EXE-13D57D76.pf
19.06.2007 21:36 13.116 PREUPD.EXE-358AA1C1.pf
19.06.2007 21:35 38.028 SPOOLSV.EXE-282F76A7.pf
19.06.2007 21:03 71.728 REGISTRYCLEANER.EXE-20088BFB.pf
19.06.2007 21:03 56.214 DISKDOCTOR.EXE-03E759E5.pf
19.06.2007 21:03 52.986 REGISTRYDEFRAG.EXE-07C9D891.pf
19.06.2007 21:01 49.888 MMC.EXE-2F7FB306.pf
19.06.2007 21:01 72.002 STARTUPMANAGER.EXE-281C91BD.pf
19.06.2007 21:00 68.228 INTEGRATOR.EXE-2DD2F657.pf
19.06.2007 20:55 16.952 REGSVR32.EXE-25EEFE2F.pf
19.06.2007 17:47 54.096 AVCONFIG.EXE-3B8B9C26.pf
19.06.2007 17:38 36.840 AD-AWARE2007.EXE-24EFCF6D.pf
19.06.2007 17:38 21.138 AU_.EXE-18B58961.pf
19.06.2007 17:38 17.816 UNINST.EXE-1ED51BA9.pf
19.06.2007 17:14 23.668 AVGNT.EXE-36CA4640.pf
19.06.2007 17:13 32.814 USERINIT.EXE-30B18140.pf
19.06.2007 17:13 16.894 RUNDLL32.EXE-1A5DA810.pf
19.06.2007 17:08 15.476 AGENTSVR.EXE-002E45AB.pf
18.06.2007 21:53 18.066 RECUVA.EXE-03D14086.pf
18.06.2007 21:50 24.274 RECOVERYSETUP.EXE-09869A3D.pf
18.06.2007 21:49 19.172 _IU14D2N.TMP-03BC1188.pf
18.06.2007 21:49 22.378 UNINS000.EXE-0F712383.pf
18.06.2007 21:44 35.992 SMARTDATARECOVERY.EXE-0EF03C9F.pf
18.06.2007 21:44 19.244 IS-FLFU7.TMP-3A84606B.pf
18.06.2007 21:37 27.474 SET3D.TMP-016F29EB.pf
18.06.2007 21:37 21.618 RUNDLL32.EXE-3E9BA09D.pf
18.06.2007 21:37 61.148 RUNDLL32.EXE-13404D23.pf
18.06.2007 21:35 29.118 SMR.EXE-2598088A.pf
18.06.2007 21:34 30.076 PCI_DE_SMARTRECOVERY.EXE-1EFF2AD3.pf
18.06.2007 17:46 26.404 SETUP_WM.EXE-19AC5A9B.pf
18.06.2007 17:44 73.754 WMPLAYER.EXE-09969332.pf
18.06.2007 17:43 75.680 WMPLAYER.EXE-09969339.pf
18.06.2007 17:37 16.638 VIDCCLEANER.EXE-1487FA7C.pf
18.06.2007 17:37 18.514 _REGDLL.TMP-303FBED1.pf
18.06.2007 17:37 23.856 IS-AJSD2.TMP-0436646C.pf
18.06.2007 17:37 18.814 XVID-1.1.2-01112006.EXE-34227765.pf
18.06.2007 16:03 20.950 DRWTSN32.EXE-2B4B52AC.pf
18.06.2007 16:03 59.394 DWWIN.EXE-30875ADC.pf
18.06.2007 15:56 31.648 I-LOCK.EXE-3451815B.pf
18.06.2007 15:55 25.684 RUNDLL32.EXE-327ED30F.pf
18.06.2007 15:44 17.430 RUNDLL32.EXE-1FDC2E46.pf
17.06.2007 21:25 29.930 RUNDLL32.EXE-1187FB71.pf
17.06.2007 21:20 128.910 SEAMON~1.EXE-09312F9C.pf
17.06.2007 21:20 74.710 WINAMP.EXE-0CA42160.pf
17.06.2007 21:11 17.354 RUNDLL32.EXE-3B684387.pf
17.06.2007 21:11 18.428 RUNDLL32.EXE-12B3A3D4.pf
17.06.2007 20:30 22.288 CSTRIKE.EXE-15CF28AB.pf
17.06.2007 20:30 62.086 HL2.EXE-2C430A65.pf
17.06.2007 18:55 71.434 RUNDLL32.EXE-26DC5A93.pf
17.06.2007 13:18 25.204 DUMPREP.EXE-1B46F901.pf
17.06.2007 11:48 21.310 RUNDLL32.EXE-2DD9023C.pf
17.06.2007 11:47 76.584 FIREFOX.EXE-17EE503B.pf
16.06.2007 22:15 56.890 PVCR.EXE-298A562C.pf
16.06.2007 20:39 68.154 NMIndexStoreSvr.exe-1DBCF9FD.pf
16.06.2007 20:39 24.428 NMBGMONITOR.EXE-0BC10095.pf
16.06.2007 20:06 41.234 MSIEXEC.EXE-2F8A8CAE.pf
15.06.2007 17:20 18.964 RUNDLL32.EXE-451FC2C0.pf
13.06.2007 20:23 9.720 WSCNTFY.EXE-1B24F5EB.pf
07.06.2007 21:53 52.826 FIREFOX.EXE-21A19F77.pf
Verzeichnis von C:\WINDOWS\tasks

20.06.2007 14:29 6 SA.DAT
15.06.2007 17:16 404 1-Klick-Wartung.job
02.04.2003 14:00 65 desktop.ini
Verzeichnis von C:\WINDOWS\Temp

19.06.2007 21:36 0 Upd28.tmp
18.06.2007 21:30 0 Upd27.tmp
17.06.2007 18:30 0 Upd26.tmp
17.06.2007 09:44 16.384 Perflib_Perfdata_6e0.dat
16.06.2007 18:41 0 Upd25.tmp
16.06.2007 15:51 0 Upd23.tmp
15.06.2007 13:59 0 Upd22.tmp
13.06.2007 20:22 0 Upd21.tmp
12.06.2007 17:28 0 Upd20.tmp
11.06.2007 17:28 0 Upd1F.tmp
10.06.2007 14:36 0 Upd1E.tmp
09.06.2007 13:37 0 Upd1D.tmp
07.06.2007 21:00 0 Upd1C.tmp
06.06.2007 21:00 0 Upd1B.tmp
05.06.2007 15:47 0 Upd1A.tmp
04.06.2007 15:47 0 Upd19.tmp
03.06.2007 13:21 0 Upd24.tmp
02.06.2007 13:21 0 Upd18.tmp
31.05.2007 16:29 0 Upd17.tmp
Verzeichnis von C:\DOKUME~1\J****\LOKALE~1\Temp

20.06.2007 14:27 549 2jlw2e7j.zip
20.06.2007 07:54 335.304 Gua3.tmp
20.06.2007 07:54 335.304 Gua4.tmp
20.06.2007 07:54 335.304 Gua2.tmp
20.06.2007 07:49 1.416 wmplog00.sqm


Wau, das ist ja mal nen Post, ich hoffe er ist auch hilfreich...
mfg

Alt 20.06.2007, 22:19   #8
nochdigger
 
Benötige Hilfe beim Enfernen von Viren/Trojanern - Standard

Benötige Hilfe beim Enfernen von Viren/Trojanern


Hallo

Zitat:
okay, jetzt kommen auch noch die Daten von Filelist.zip, ich hoffe ich mache alles richtigwar mir nicht sicher ob die letzten 30 Tage vom Datum her oder die letzten 30 angezeigten)
die letzten 30 Tage...

Zitat:
Wau, das ist ja mal nen Post, ich hoffe er ist auch hilfreich...
dann sind wir schon zu zweit

lade dir ClearProg und lasse es dein System bereinigen (hake an --> alles löschen) lass alles löschen, anschließend starte HijackThis mit der Option - do a system scan only - und hake diesen Eintrag an :
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\nrwvfgoj.dll",realset
klicke nun auf - fix checked - und beende Hijackthis.

Starte dein System in den abgesicherten Modus (beim start F8 drücken) und lösche diese Dateien :
C:\Windows\System32\
wsmgemke.ini
abadd.ini2
ekmegmsw.dll
abadd.bak2
gaxmwobb.ini
pwwcaxgp.ini
tmp.txt
tmp.reg
xtfmwmyi.ini
mcrh.tmp
jogfvwrn.ini
nrwvfgoj.dll
yuhgvjim.ini
ovokstmu.ini
umtskovo.dll
wwvgplef.ini
ycbujgyt.ini
hsbsvxkg.ini
abadd.bak1
tygjubcy.dll
ayhkcree.ini
lrqbmaap.ini
pmojinwv.ini
ythcebao.ini
awyvjqct.ini
tcqjvywa.dll
keslpxmf.ini
emdvtuvx.ini
srfvymko.ini
mgtcrxbd.ini
tkgwtxnc.ini
cakwvpcc.dll

anschließend leere den Mülleimer und starte dein System in den normalen Modus.
Erstelle nun bitte ein neues HijackThis log wie von mir gefordert.

MFG

Alt 21.06.2007, 15:48   #9
JBo
 
Benötige Hilfe beim Enfernen von Viren/Trojanern - Standard

Benötige Hilfe beim Enfernen von Viren/Trojanern


okay, ich habe versucht alles so weit auszuführen, aber ich konnte die meisten der Dateien nicht finden:
konnte keine der ***.ini Dateien sowie die ***.bak Dateien und die ekmegmsw.dll Datei entdecken.

vieleicht hab ich was falsch gemacht, weil in meinem Abgesicherten Modus der Bildschim schwarz ist und ich nur über den Taskmanager und "neuer Task ausführen" auf die Dateien zugreifen kann. Aber jetzt hab ich nochmal gesucht und sie immer noch nicht gefunden.

hier auf jeden Fall schon mal das HijackLogfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:38:22, on 21.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\xProgramme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Dokumente und Einstellungen\J***\Eigene Dateien\LAN\JackASnack.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h..p://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {8BA5F541-6D0A-46C6-AC82-4653543594C6} - C:\WINDOWS\system32\ddaba.dll
O2 - BHO: (no name) - {F36CCFBD-8FAA-4872-8576-15C88BC7B319} - C:\WINDOWS\system32\yaywwtt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: ddaba - C:\WINDOWS\system32\ddaba.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O20 - Winlogon Notify: yaywwtt - C:\WINDOWS\SYSTEM32\yaywwtt.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\xProgramme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



achja, und Spy.VBStat.B.1, Agent.anr.t sowie Agent.aoy.1 werden immer noch von Antivir in dem Temp Ordner gefunden.

glaugst du, dass es noch eine möglichkeit gibt, dass ich den PC wieder clean bekomme, oder sollte ich mich mental schon mal auf das Neuaufsetzen einstellen?
Geändert von JBo (21.06.2007 um 16:42 Uhr)

Alt 21.06.2007, 16:38   #10
fidelcastro1
 
Benötige Hilfe beim Enfernen von Viren/Trojanern - Standard

Benötige Hilfe beim Enfernen von Viren/Trojanern


nimm den cc cleaner der macht den scheiss runter ohne viel stress hatte das selbe problem das programm ist gratis CHIP Online - Download - CCleaner 1.40.5 Deutsch
klick and win

Alt 21.06.2007, 16:44   #11
JBo
 
Benötige Hilfe beim Enfernen von Viren/Trojanern - Standard

Benötige Hilfe beim Enfernen von Viren/Trojanern


Zitat:
der macht den scheiss runter ohne viel stress
probier ich gleich mal - danke

Alt 21.06.2007, 16:46   #12
fidelcastro1
 
Benötige Hilfe beim Enfernen von Viren/Trojanern - Standard

Benötige Hilfe beim Enfernen von Viren/Trojanern


dieser SmidFraudFix ist wenn du denn virus net hast dein tot der macht deine registrierung am arsch und löscht dir sachen danach sin alle türen offen für vieren lol also bitte lass es lieber mfg castro

Alt 21.06.2007, 16:48   #13
fidelcastro1
 
Benötige Hilfe beim Enfernen von Viren/Trojanern - Standard

Benötige Hilfe beim Enfernen von Viren/Trojanern


sag bescheit ob es bei dir geklapt hatt wenn net mail mir ich werd dir dan weiter helfen ^^ mfg castro Inc.

Alt 21.06.2007, 17:03   #14
JBo
 
Benötige Hilfe beim Enfernen von Viren/Trojanern - Standard

Benötige Hilfe beim Enfernen von Viren/Trojanern


Zitat:
Zitat von fidelcastro1 Beitrag anzeigen
sag bescheit ob es bei dir geklapt hatt wenn net mail mir ich werd dir dan weiter helfen ^^ mfg castro Inc.
hab es soweit mal ausprobiert und bisher hab ich tatsächlich keine weiteren Virenmeldungen bekommen. (das ist schon erstaunlich, 15 min ohne Viruswarnung ^^) jetzt muss ich nur sehen, ob dieser Zustand auch nach einem Neustart anhält.

Alt 21.06.2007, 20:11   #15
JBo
 
Benötige Hilfe beim Enfernen von Viren/Trojanern - Standard

Benötige Hilfe beim Enfernen von Viren/Trojanern


miste, nach dem neustart waren sie wider da - die Trojaner & Co. Und auch der Internet Explorer öffnet sich wieder von alleine. Aber wenn ich dann mit dem CCleaner drübergehe, kommen sie erst beim nächsten Start wieder. Das ist ja irgendwie noch nicht der perfekte Zustand.
kann es sein, das sich der Virus auch in den Dateien von anderen Benutzern auf dem PC eingenistet hat??

Antwort
Seite 1 von 2 1 2

Themen zu Benötige Hilfe beim Enfernen von Viren/Trojanern
ad-aware, antivir, avira, einstellungen, excel, explorer, firefox, helfen, helper, hijack, hijackthis, hijackthis logfile, internet, internet explorer, keine ahnung, logfile, neustart, nvidia, problem, quara, rundll, software, system, temp, virenscaner, windows, windows xp, öffnet


« Ich habe keine Lösung mehr! | Hilfe / xc23[1] Meldung/Downloader???? »


Ähnliche Themen: Benötige Hilfe beim Enfernen von Viren/Trojanern


  1. benötige Hilfe beim beseitigen einiger Trojaner und unerwünschte selber ausführende Programme
    Plagegeister aller Art und deren Bekämpfung - 16.08.2015 (14)
  2. Benötige Hilfe beim entschlüsseln meiner durch den Virus verschlüsselten Dateien
    Diskussionsforum - 29.01.2013 (4)
  3. Benötige Hilfe beim Entschlüsseln
    Log-Analyse und Auswertung - 03.10.2012 (1)
  4. Benötige Hilfe beim Bereinigen vom Trojaner Eyestye
    Plagegeister aller Art und deren Bekämpfung - 14.04.2012 (2)
  5. Benötige Hilfe beim Kauf einer Suite
    Antiviren-, Firewall- und andere Schutzprogramme - 02.04.2009 (22)
  6. Laptop durch VIren/Trojanern verseucht . Brauche Hilfe!
    Log-Analyse und Auswertung - 07.09.2008 (12)
  7. Benötige Hilfe, verschiedene Viren auf der Kiste :(
    Plagegeister aller Art und deren Bekämpfung - 20.07.2008 (6)
  8. Benötige Hilfe beim Bekämpfen von TR/Monder.alx, TR/Vundo.Gen, TR/Crypt.XPACK.Gen!!!
    Plagegeister aller Art und deren Bekämpfung - 19.07.2008 (13)
  9. infiziert mit Trojanern und Viren; brauche dringend Hilfe
    Plagegeister aller Art und deren Bekämpfung - 26.05.2008 (1)
  10. Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster
    Plagegeister aller Art und deren Bekämpfung - 01.05.2008 (31)
  11. benötige hilfe beim worm.win32.netbooster2
    Plagegeister aller Art und deren Bekämpfung - 26.04.2008 (6)
  12. Benötige Hilfe Hatte/Habe Viren/Trojaner
    Log-Analyse und Auswertung - 06.11.2007 (22)
  13. Benötige hilfe beim PC meiner Freundin
    Log-Analyse und Auswertung - 04.08.2007 (1)
  14. Benötige Hilfe mit einigen Trojanern - Hijack Log vorhanden
    Log-Analyse und Auswertung - 23.06.2007 (7)
  15. Bitte um Hilfe beim HIJack LogFile und Trojanern
    Log-Analyse und Auswertung - 07.08.2006 (2)
  16. Benötige Hilfe beim entfernen von TR/Dldr.Peerat.A
    Log-Analyse und Auswertung - 31.07.2005 (3)
  17. benötige hilfe beim fixen
    Log-Analyse und Auswertung - 16.12.2004 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Benötige Hilfe beim Enfernen von Viren/Trojanern - Moinsen, ich hoffe es nimmt mir keiner Übel, dass ich mich erst jetzt wegen meinem Problem hier angemeldet habe, aber ich kenn mich wenig mit PCs und Foren und so - Benötige Hilfe beim Enfernen von Viren/Trojanern...
Archiv
Du betrachtest: Benötige Hilfe beim Enfernen von Viren/Trojanern auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55