Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
noch Rettung in Sicht?

noch Rettung in Sicht?


Log-Analyse und Auswertung: noch Rettung in Sicht?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 14.08.2007, 16:27   #1
Trunksi
 
noch Rettung in Sicht? - Standard

noch Rettung in Sicht?


Hi, da die letzten Tage mein PC immer mehr angefangen hat zu spinnen...
und sogar schon ab und an die bdss.exe beendet werden musste...hab ich einfach mal Escan durchlaufen lassen mit folgendem Ergebnis:

Zitat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.6
Sprache: German
C:\DOKUME~1\Trunksi\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with killav.nbd Browser Hijacker ({e0e899ab-f487-11d5-8d29-0050ba6940e3})! Action taken: Keine Aktion vorgenommen.
System found infected with killav.nbd Browser Hijacker ({e0e899ab-f487-11d5-8d29-0050ba6940e3})! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\DOWNLO~1\A18X.ocx markiert als "not-a-virus:AdWare.Win32.Look2Me.aj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\Downloaded Program Files\A18X.ocx markiert als "not-a-virus:AdWare.Win32.Look2Me.aj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\DOKUME~1\Trunksi\LOKALE~1\Temp\cmdlineext02.dll
Offending file found: C:\Dokumente und Einstellungen\Trunksi\Lokale Einstellungen\temp\cmdlineext02.dll
Offending file found: C:\WINDOWS\system32\gdiplus.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Trunksi\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\Trunksi\LOKALE~1\Temp\GLB6D.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\Trunksi\LOKALE~1\Temp\GLB74.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Trunksi\Lokale Einstellungen\Temp\GLB6D.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Trunksi\Lokale Einstellungen\Temp\GLB74.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\Microsoft Games\Age of Empires III\AOE3Update1.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 178941
Gefundene Viren: 8
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 60
Dauer des Scans bisher: 01:54:12
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 17:12:26,56
Batchende: 17:12:30,68
die Temp-files müsste ich ja mittels CCleaner beseitigen können, wenn ich nicht falsch liege.

Aber der Rest?

Wo smitie herkommt kann ich bei weitem net sagen...ich dachte man fängt sich dieses vieh nur ein, wenn man auf einen link oder so klickt...seltsam...
und das andere kenn ich nicht...

Kann man da noch was machen?
Da ich auch gern mal online bestelle und auch mit PayPal bezahle...


Außerdem noch mein HijackThis log:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 17:17:49, on 14.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Apps\Softex\OmniPass\Omniserv.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Apps\Softex\OmniPass\OPXPApp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Apps\Softex\OmniPass\scureapp.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\APPS\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\apps\ABoard\AOSD.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\FlashGet\FlashGet.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\APPS\SMP\SMPSYS.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\downloads\sicherheit\hijackthis_199\Trunksi.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Programme\FlashGet\fgiebar.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [OmniPass] C:\Apps\Softex\OmniPass\scureapp.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [PCMService] "c:\APPS\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [FlashGet] "C:\Programme\FlashGet\FlashGet.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SMPSYS.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0835BC90-6ABC-4F52-A103-4FC3A61F2C33} (A18X Control) - http://www.albatross18.com/season2/cabs/A18X.ocx
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascstubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157702355012
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DB7ED44-4AF0-4B96-966B-CB0C9C7C365F}: NameServer = 192.168.2.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O20 - Winlogon Notify: OPXPGina - C:\Apps\Softex\OmniPass\opxpgina.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: RoxUpnpRenderer (RoxUPnPRenderer) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCom\RoxUpnpRenderer.exe
O23 - Service: RoxUpnpServer - Sonic Solutions - C:\Programme\Roxio\WinOnCD 8\Digital Home\RoxUpnpServer.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Hijackthis.exe wurde zu Trunksi umbenannt
und die blöde YahooToolbar hab ich mir...bei i-was eingefangen und noch nicht weiter drum gekümmert, außer sie wieder runter zuschmeißen :P


Ach und noch eine kleine Frage am Rande:
Wenn man infiziert ist, welche Datenarte kann man bedenklos auf CD/DVD/USB sichern? (für den Fall der Fälle würde ich dann ganz gerne einige Bilder sichern und sonstiger Kram der mir am Herzen liegt)

Würde mich freuen, wenn man mir (schnell) helfen kann

Alt 14.08.2007, 17:32   #2
Trunksi
 
noch Rettung in Sicht? - Standard

noch Rettung in Sicht?


hmm...weiß keiner Rat? ._." bitte lasst mich nicht hängen

ich hab übrigens mal diese A18X.ocx bei virustotal hochgeladen

gemeckert hat da nur kaspersky
Kaspersky 4.0.2.24 2007.08.14 not-a-virus:AdWare.Win32.Look2Me.aj

die anderen fanden alle nix...

braucht ihr sonst noch irgendwas?
__________________
Alt 14.08.2007, 17:39   #3
__Turmfalke__
 
noch Rettung in Sicht? - Standard

noch Rettung in Sicht?


nicht jeder ist hier 24/7 online, sprich du must dich noch etwas gedulten. Immerhin machen das die Leute hier alles kostenlos, also sei froh und gedultige dich etwas...
was deine smitfraud angeht kannst du ja mal in den FHQ nach lesen.
__________________
Alt 14.08.2007, 17:49   #4
Trunksi
 
noch Rettung in Sicht? - Standard

noch Rettung in Sicht?


keine sorge ich weiß, wie beschäftigt die leute sind und ich finde es richtig toll, was sie hier schaffen~
(aber da ich auch arbeite, würde ich das Thema doch recht gern so schnell wie möglich vom Tisch haben, also bin vormittags-nachmittag nicht zu erreichen...)

Ich wollt ja nur vorsichtig nachfragen...damit ich weiß ob ich den pc heute noch platt machen kann, oder ob es auch anders geht oder ob ich noch i-was abliefern kann.

In der FAQ habe ich durch google irgendwas mit smitfraud gefunden...aber ich habe keinen dieser prozesse am laufen und die ordner konnte ich auch nicht finden...
Es ist mir auch nicht bekannt, dass meine Browser je eine andere Startseite als about:blank angezeigt haben (gut bei IE die komische suchdingens...den richte ich mir aber auch nicht ein, da ich ihn wirklich NUR nutze, wenn die Seiten nicht mit FF gehen)

die "gdiplus.dll" hab ich nun auch prüfen lassen
AhnLab-V3 2007.8.9.2 2007.08.13 -
AntiVir 7.4.1.62 2007.08.14 -
Authentium 4.93.8 2007.08.13 -
Avast 4.7.1029.0 2007.08.13 -
AVG 7.5.0.476 2007.08.13 -
BitDefender 7.2 2007.08.14 -
CAT-QuickHeal 9.00 2007.08.14 -
ClamAV 0.91 2007.08.14 -
DrWeb 4.33 2007.08.14 -
eSafe 7.0.15.0 2007.08.10 -
eTrust-Vet 31.1.5058 2007.08.14 -
Ewido 4.0 2007.08.14 -
FileAdvisor 1 2007.08.14 No threat detected, but known vulnerabilities exist
Fortinet 2.91.0.0 2007.08.14 -
F-Prot 4.3.2.48 2007.08.13 -
F-Secure 6.70.13030.0 2007.08.14 -
Ikarus T3.1.1.12 2007.08.14 -
Kaspersky 4.0.2.24 2007.08.14 -
McAfee 5097 2007.08.14 -
Microsoft 1.2704 2007.08.14 -
NOD32v2 2460 2007.08.14 -
Norman 5.80.02 2007.08.14 -
Panda 9.0.0.4 2007.08.14 -
Prevx1 V2 2007.08.14 -
Rising 19.36.12.00 2007.08.14 -
Sophos 4.20.0 2007.08.12 -
Sunbelt 2.2.907.0 2007.08.14 -
Symantec 10 2007.08.14 -
TheHacker 6.1.8.168 2007.08.14 -
VBA32 3.12.2.2 2007.08.13 -
VirusBuster 4.3.26:9 2007.08.14 -
Webwasher-Gateway 6.0.1 2007.08.14 -


File size: 1638400 bytes
MD5: cc73464126d45ec55bf908e16505ec65
SHA1: 394f7a932a5ae946b74cbab149f83dc87f52fa47

hier hat auch nur wieder 1 gemeckert...

Alt 14.08.2007, 18:02   #5
__Turmfalke__
 
noch Rettung in Sicht? - Standard

noch Rettung in Sicht?


bist du mal nach der anleitung gegangen? http://www.trojaner-board.de/21709-a...fakeale-c.html
weil escan findet ja scheinbar smitfraud.


Alt 14.08.2007, 19:04   #6
Trunksi
 
noch Rettung in Sicht? - Standard

noch Rettung in Sicht?


okay dann werde ich das wohl morgen einmal durchlaufen lassen. 3 Stunden sind jetzt doch etwas zu lang :P

Ich bin trotzdem noch skeptisch, da ich keinen der Ordner habe...und auch bisher auf keine andere Seite weitergeleitet wurde.

Die beiden Dateien aus diesen ICQ Ordner habe ich auch auswerten lassen, dort wurde nix gefunden...
vll Fehlalarm?

Gehört killav.dingens eigentlich mit zu Smitfraud?

Vielen Dank bisher Turmfalke

Ach eines noch(viel mir grad ein :P): Bitdefender und Spybot haben bisher auch nie gemeckert....
(Online Scanner genauso wenig... ._. auch wenn BitDefender jetzt immer bei TotalScan sich meldet)

Alt 14.08.2007, 22:53   #7
BataAlexander
> MalwareDB
 
noch Rettung in Sicht? - Standard

noch Rettung in Sicht?


Lade Dir Look2meDestroyer, führe es wie beschrieben aus und den Inhalt der C:\Look2Me-Destroyer.txt posten.

Zitat:
System found infected with killav.nbd Browser Hijacker ({e0e899ab-f487-11d5-8d29-0050ba6940e3})! Action taken: Keine Aktion vorgenommen.
Kommt von Flashget, dieses enthält in der Free Version Cydoor adware.

Bata
Geändert von BataAlexander (14.08.2007 um 22:58 Uhr)

Alt 15.08.2007, 07:07   #8
Trunksi
 
noch Rettung in Sicht? - Standard

noch Rettung in Sicht?


okay, danke bata
Ich werde mir das Tool laden, sobald ich zuhause bin.

Das mit Flashget hab ich mir gedacht, war mir aber nicht sicher...
(Ich hab unter regedit nach dem Schlüssel, oder wie man das bezeichnen mag, gesucht und als Wert/Name gab er mir FlashGet an...Danke für die Bestätigung)
Ist das Vieh eigentlich böse oder richtig böse? (Adware ist ja bekanntlich immer böse >)

das Smitrem-tool hab ich auch durchlaufen lassen, ich glaube der hat nicht wirklich was gefunden....
Spybot hat auch nix gefunden, außer 2 cookies (Statcounter, Hitbox)
und ja noch irgendwas von windows registry...aber ich denke das liegt/lag am abgesicherten Modus
der meinte dann i-was, das im hintergrundbild kein html dingens ist...
Meiner Meinung nach liegt das am abgesicherten Modus.


Ich danke euch ohne euch wäre ich aufgeschmissen.

So ich mach mich hier erst einmal wieder an die Arbeit.

Alt 15.08.2007, 14:32   #9
Trunksi
 
noch Rettung in Sicht? - Standard

noch Rettung in Sicht?


okay hier der log vom look2medestroyer
(war zwischendurch noch einkaufen, essen, und einfach nur rumsitzen :P...
außerdem ist compi eben wieder einmal hochgefahren...und zeigte mir nur einen schwarzen bildschirm mit mauszeiger (den ich noch bewegen konnte)...)

Zitat:
Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 15.08.2007 13:15:01


Attempting to delete infected files...

Making registry repairs.


Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administratoren - Succeeded
und falls es wichtig ist noch smitrem von gestern abend (habs doch noch machen lassen, nur nicht die alten daten komp....whatever... lassen

Zitat:
smitRem © log file
version 3.2

by noahdfear


Microsoft Windows XP [Version 5.1.2600]
"IE"="7.0000"

Running from
C:\Dokumente und Einstellungen\Trunksi\Desktop\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Appinitdll check ........ Thank you Grinler!

dumphive.exe (C)2000-2004 Markus Stephany
REGEDIT4

[Windows]
"AppInit_DLLs"=" sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

XP Firewall allowed access

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\Microsoft Games\\Zoo Tycoon 2\\zt.exe"="C:\\Programme\\Microsoft Games\\Zoo Tycoon 2\\zt.exe:*:Enabled:Zoo Tycoon 2 Executable"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Anno 1701\\Anno1701.exe"="C:\\Programme\\Anno 1701\\Anno1701.exe:*:Enabled:Anno 1701"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe:*:Enabled:Nexon Game Manager"
"C:\\Programme\\FlashGet\\FlashGet.exe"="C:\\Programme\\FlashGet\\FlashGet.exe:*:Enabled:Flashget"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Xfire\\xfire.exe"="C:\\Programme\\Xfire\\xfire.exe:*:Enabled:Xfire"
"C:\\Programme\\NetMeeting\\conf.exe"="C:\\Programme\\NetMeeting\\conf.exe:*:Enabled:Windows© NetMeeting©"
"C:\\Dokumente und Einstellungen\\Trunksi\\Lokale Einstellungen\\Temp\\nsh45.tmp\\utorrent.exe"="C:\\Dokumente und Einstellungen\\Trunksi\\Lokale Einstellungen\\Temp\\nsh45.tmp\\utorrent.exe:*:Enabled:æTorrent"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!


checking for drsmartload2 key


drsmartload2 key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present
AlfaCleaner uninstaller NOT present
SpyFalcon uninstaller NOT present
SpywareQuake uninstaller NOT present
SpywareSheriff uninstaller NOT present
Trust Cleaner uninstaller NOT present
SpyHeal uninstaller NOT present
VirusBurst uninstaller NOT present
BraveSentry uninstaller NOT present
AntiVermins uninstaller NOT present
VirusBursters uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

amcompat.tlb
nscompat.tlb
logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 808 'explorer.exe'
Killing PID 808 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~



~~~ Wininet.dll ~~~

CLEAN!
irgendwie kann ich bei beiden nix rauslesen....aber ich überlass das mal lieber euch profis

Alt 16.08.2007, 08:07   #10
Trunksi
 
noch Rettung in Sicht? - Standard

noch Rettung in Sicht?


hmmm ihr verunsichert mich ein wenig ._." bedeutet euer schweigen, dass mein Kleiner hoffnungslos verloren ist...oder er geheilt ist?

Da ich mir auch einfach nicht erklären kann, was diese ganzen Schnipsel in den Logs bedeuten sollen, bin ich etwas ängstlich...

Bitte klärt mich auf :P

Alt 16.08.2007, 09:46   #11
BataAlexander
> MalwareDB
 
noch Rettung in Sicht? - Standard

noch Rettung in Sicht?


Das Schweigen bedeutet gar nichts.
Habe mich nur grad dahingehend eingelesen, als das Dein eScan Ergebniss nur False Positives beinhaltet, also Falschmeldungen.
Die C:\WINDOWS\Downloaded Program Files\A18X.ocx gehört zu einem Prozess "GameFactory, Albatross18 Online Game Launcher", wird irgendwie mit einem Spiel / Browserspiel gekommen sein.
Daher wird Dein Rechner von mir als sauber befunden.

Bata

Alt 16.08.2007, 10:27   #12
Trunksi
 
noch Rettung in Sicht? - Standard

noch Rettung in Sicht?


ach klar albatross18 (aka Pangya)...ganz vergessen... blöde Panik...
Das ist sauber (ein Online-GolfSpiel)...


Vielen Dank Bata und Turmfalke
Ihr habt mir echt mein Tag gerettet

Antwort

Themen zu noch Rettung in Sicht?
antivirus, antivirus scan, appinit_dlls, bho, browser, canon, cyberlink, dateisystem, drivers, excel, fehler, festplatte, firefox, frage, fraud, helfen, hijackthis, hijackthis log, home, hosts-datei, internet, internet explorer, logfile, maßnahme, mozilla, mozilla firefox, object, pop-up-blocker, prozesse, registry, rundll, shortcut, sicherheit, smitfraud, software, symantec, uleadburninghelper, urlsearchhook, viren, windows, windows xp, windows\system32\drivers


« bitte um hilfe | keylogger? bitte um hilfe »


Ähnliche Themen: noch Rettung in Sicht?


  1. Jabber.ccc.de-Server offline: Neustart in Sicht
    Nachrichten - 01.10.2015 (0)
  2. Bluescreen Windows 7 , alle 3 Stunden, keine Lösung in Sicht .
    Log-Analyse und Auswertung - 26.08.2015 (8)
  3. Fotos auf FP - File is encrypted - Lösung in Sicht?
    Plagegeister aller Art und deren Bekämpfung - 21.08.2013 (3)
  4. Patch für kritische IE-Lücke in Sicht
    Nachrichten - 14.01.2013 (0)
  5. PC hängt sicht auf (Standbild) auch schon vor Windows Login
    Alles rund um Windows - 12.12.2012 (3)
  6. PC hängt sicht auf (Standbild) auch schon vor Windows Login
    Plagegeister aller Art und deren Bekämpfung - 12.12.2012 (0)
  7. Nachfolger für RFC-Ignorant.Org in Sicht
    Nachrichten - 06.11.2012 (0)
  8. Alureon und kein ende in sicht
    Plagegeister aller Art und deren Bekämpfung - 02.04.2012 (5)
  9. Weisser bildschirm und keine lösung in sicht:(
    Log-Analyse und Auswertung - 12.03.2012 (4)
  10. Benutzerkonten lassen sicht öffnen
    Alles rund um Windows - 26.12.2008 (6)
  11. TR.Agent.6938.A Hijackthis log mbm logs. Gibt es noch Rettung?
    Log-Analyse und Auswertung - 26.10.2008 (15)
  12. Bitte Nachgucken + Noch Eine Rettung In Sicht?
    Log-Analyse und Auswertung - 07.02.2008 (2)
  13. Über 20 unterschiedliche Trojaner! Rettung noch möglich?
    Plagegeister aller Art und deren Bekämpfung - 13.01.2008 (3)
  14. Ein Haufen Probleme und keine Lösung in Sicht!
    Plagegeister aller Art und deren Bekämpfung - 23.07.2007 (4)
  15. pc ultrast langsam, blaues feld versperrt sicht
    Plagegeister aller Art und deren Bekämpfung - 29.03.2006 (5)
  16. nach hijackthis fixen ist kein land in Sicht...
    Log-Analyse und Auswertung - 27.01.2005 (19)
  17. gibt es noch rettung??
    Plagegeister aller Art und deren Bekämpfung - 24.11.2004 (4)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema noch Rettung in Sicht? - Hi, da die letzten Tage mein PC immer mehr angefangen hat zu spinnen... und sogar schon ab und an die bdss.exe beendet werden musste...hab ich einfach mal Escan durchlaufen lassen - noch Rettung in Sicht?...
Archiv
Du betrachtest: noch Rettung in Sicht? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55