|
Plagegeister aller Art und deren Bekämpfung: Schaffe es nicht Vundo.Gen zu entfernen - Was ist Check_LSA7.txt?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.09.2007, 14:16 | #1 |
| Schaffe es nicht Vundo.Gen zu entfernen - Was ist Check_LSA7.txt? Ich habe mir heute anscheinend den Vundo Trojaner gefangen. hier mein HTJ Log Logfile of HijackThis v1.99.1 Scan saved at 15:09:19, on 12.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Framework\FrameworkService.exe C:\Program Files\VirusScan\Mcshield.exe C:\Program Files\VirusScan\VsTskMgr.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\sstray.exe C:\Program Files\VirusScan\SHSTAT.EXE C:\Program Files\Common Framework\UpdaterUI.exe C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe C:\Program Files\DAEMON Tools\daemon.exe C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe C:\Program Files\Creative\Shared Files\CamTray.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\QIP\qip.exe C:\Program Files\Azureus\Azureus.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Administrator\Desktop\htj\spyware.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {401077D2-060C-4276-B654-F4DD8D9AC51A} - C:\WINDOWS\system32\vtstq.dll O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - C:\WINDOWS\system32\nnnnopq.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Program Files\Creative\Shared Files\CamTray.exe" O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1159449293546 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: nnnnopq - C:\WINDOWS\SYSTEM32\nnnnopq.dll O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\VirusScan\VsTskMgr.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe Fettgedrucktes habe ich schon oft versucht zu entfernen. Kein Erfolg. Auch McAfee Enterprise, AntiVir oder SP Search&Destroy haben kein Erfolg. VundoFix hat 3 dlls gefunden und diese gelöscht, findet jetzt aber bei erneutem Suchlauf keine Vundo Files mehr. AntiVir erkennt z.B. aber die dll´s (nnnnopq.dll vtstq.dll )sofort als Vundo.Gen Zudem popt Werbung für WinAntiVirus auf und DiscCleaner. Die datei CHeck_LSA7.txt kann ich nicht entfernen oder öffnen oder editieren, ich denke mal, dass sie m it dem Vundo Trojaner zu tun hat. Ich habe auch schon in anderen FOren nachgelesen, jedoch hat bisher keinder der Lösungswege funktioniert. |
12.09.2007, 14:20 | #2 | |
Administrator > Competence Manager | Schaffe es nicht Vundo.Gen zu entfernen - Was ist Check_LSA7.txt?Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab: Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) MWAV (eScan) - Free Antivirus -Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. (rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) Gruß Sunny
__________________ |
12.09.2007, 18:19 | #3 |
| Schaffe es nicht Vundo.Gen zu entfernen - Was ist Check_LSA7.txt? eScan ist schon seit 2,5 h am scannen und ich glaube er braucht noch etwas. PLatte ist halt ziemlich voll
__________________Den Bericht reiche ich dann später am Abend nach. Zu den beiden dll Dateien hier die VirusTotal Scans: C:\WINDOWS\system32\vtstq.dll Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.11.1 2007.09.12 - AntiVir 7.6.0.5 2007.09.12 - Authentium 4.93.8 2007.09.12 - Avast 4.7.1043.0 2007.09.11 - AVG 7.5.0.485 2007.09.12 Generic7.KCP BitDefender 7.2 2007.09.12 DeepScan:Generic.Virtumonde.1.E9EB2928 CAT-QuickHeal 9.00 2007.09.11 - ClamAV 0.91.2 2007.09.12 - DrWeb 4.33 2007.09.12 - eSafe 7.0.15.0 2007.09.12 Suspicious Trojan/Worm eTrust-Vet 31.1.5128 2007.09.12 Win32/Vundo!generic Ewido 4.0 2007.09.12 - FileAdvisor 1 2007.09.12 - Fortinet 3.11.0.0 2007.09.12 - F-Prot 4.3.2.48 2007.09.12 - F-Secure 6.70.13030.0 2007.09.12 W32/Vundo.dam Ikarus T3.1.1.12 2007.09.12 Win32.Rigel.6468 Kaspersky 4.0.2.24 2007.09.12 - McAfee 5117 2007.09.11 - Microsoft 1.2803 2007.09.12 - NOD32v2 2524 2007.09.12 - Norman 5.80.02 2007.09.12 W32/Vundo.dam Panda 9.0.0.4 2007.09.12 Suspicious file Prevx1 V2 2007.09.12 Heuristic: Suspicious Self Modifying EXE Rising 19.40.22.00 2007.09.12 - Sophos 4.21.0 2007.09.12 Virtumundo Sunbelt 2.2.907.0 2007.09.12 VIPRE.Suspicious Symantec 10 2007.09.12 - TheHacker 6.1.10.184 2007.09.11 - VBA32 3.12.2.4 2007.09.12 - VirusBuster 4.3.26:9 2007.09.12 Adware.Vundo.P.Gen Webwasher-Gateway 6.0.1 2007.09.12 Virus.Win32.FileInfector.gen (suspicious) weitere Informationen File size: 244832 bytes MD5: e87539112c221cb4fa474b0ec9931719 SHA1: a410f6d74500225102c326b4a431b849aa22144d packers: PecBundle, PECompact Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=0A76C8D360EFF6B6BC9103BAC82460009645D368 Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. C:\WINDOWS\system32\nnnnopq.dll Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.11.1 2007.09.12 - AntiVir 7.6.0.5 2007.09.12 TR/Vundo.Gen Authentium 4.93.8 2007.09.12 - Avast 4.7.1043.0 2007.09.11 - AVG 7.5.0.485 2007.09.12 Adware Generic2.PGC BitDefender 7.2 2007.09.12 Trojan.Vundo.DNC CAT-QuickHeal 9.00 2007.09.11 AdWare.Virtumonde.jp (Not a Virus) ClamAV 0.91.2 2007.09.12 - DrWeb 4.33 2007.09.12 Trojan.Virtumod.211 eSafe 7.0.15.0 2007.09.12 Suspicious Trojan/Worm eTrust-Vet 31.1.5128 2007.09.12 - Ewido 4.0 2007.09.12 - FileAdvisor 1 2007.09.12 - Fortinet 3.11.0.0 2007.09.12 Adware/VirtuMonde F-Prot 4.3.2.48 2007.09.12 - F-Secure 6.70.13030.0 2007.09.12 - Ikarus T3.1.1.12 2007.09.12 not-a-virus:AdWare.Win32.Virtumonde.jp Kaspersky 4.0.2.24 2007.09.12 not-a-virus:AdWare.Win32.Virtumonde.jp McAfee 5117 2007.09.11 - Microsoft 1.2803 2007.09.12 - NOD32v2 2524 2007.09.12 - Norman 5.80.02 2007.09.12 W32/Virtumonde.dam Panda 9.0.0.4 2007.09.12 Suspicious file Prevx1 V2 2007.09.12 Malware.Gen Rising 19.40.22.00 2007.09.12 - Sophos 4.21.0 2007.09.12 Virtumundo Sunbelt 2.2.907.0 2007.09.12 VIPRE.Suspicious Symantec 10 2007.09.12 - TheHacker 6.1.10.184 2007.09.11 Adware/Virtumonde.jp VBA32 3.12.2.4 2007.09.12 - VirusBuster 4.3.26:9 2007.09.12 Adware.Vundo.P.Gen Webwasher-Gateway 6.0.1 2007.09.12 Trojan.Vundo.Gen weitere Informationen File size: 44054 bytes MD5: 5d1c4cd869f72e389dbae0eb4b973241 SHA1: ca3cd72b4c2e9339ce8e429d79633765fe7338af packers: PecBundle, PECompact Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=79A365171678D123AC4500821C23EE00055ED99F Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. |
12.09.2007, 19:20 | #4 |
| Schaffe es nicht Vundo.Gen zu entfernen - Was ist Check_LSA7.txt? Hier die Ergebnisse von eScan! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.2.6 Sprache: German Virus-Datenbank Datum: 9/12/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with zipitpro Spyware/Adware (irsetup.exe)! Action taken: Keine Aktion vorgenommen. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nxoltmqo.exe infiziert von "Trojan-Downloader.Win32.Tiny.id" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMPOR~1\Content.IE5\QHAR8JWZ\valera[1] infiziert von "Trojan.Win32.Agent.bck" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMPOR~1\Content.IE5\QHAR8JWZ\WinAntiVirusPro2007FreeInstall_de[1].exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Documents and Settings\Administrator\Local Settings\Temp\nxoltmqo.exe infiziert von "Trojan-Downloader.Win32.Tiny.id" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\QHAR8JWZ\valera[1] infiziert von "Trojan.Win32.Agent.bck" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\QHAR8JWZ\WinAntiVirusPro2007FreeInstall_de[1].exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{F0B48951-17C1-4090-97E3-AF34FB3718F4}\RP355\A0044520.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{F0B48951-17C1-4090-97E3-AF34FB3718F4}\RP355\A0044523.exe infiziert von "Trojan.Win32.Dialer.uu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{F0B48951-17C1-4090-97E3-AF34FB3718F4}\RP355\A0044524.exe//data.rar/keygen.exe//PE_Patch.UPX//UPX infiziert von "Trojan.Win32.Dialer.uu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{F0B48951-17C1-4090-97E3-AF34FB3718F4}\RP357\A0044586.exe infiziert von "Trojan.Win32.Agent.bck" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\Downloads\antivir_workstation_win7u_de_h.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\System Volume Information\_restore{2FE9DC23-69E7-4DF7-9E5A-F50FA70C6663}\RP100\A0020797.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\System Volume Information\_restore{F0B48951-17C1-4090-97E3-AF34FB3718F4}\RP283\A0036023.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\System Volume Information\_restore{F0B48951-17C1-4090-97E3-AF34FB3718F4}\RP286\A0036187.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\WINDOWS\system32\nnnnopq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\nnnnopq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\nnnnopq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\nnnnopq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\nnnnopq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\Documents and Settings\Administrator\Local Settings\temp\_ir_sf7_temp_0\irsetup.exe Offending file found: C:\WINDOWS\system32\unrar.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKCU\\magnet !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\NER1A9.tmp\Cab\E2B8B375.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Documents and Settings\Administrator\Local Settings\Temp\NER1A9.tmp\Cab\E2B8B375.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Documents and Settings\Administrator\Local Settings\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Program Files\QIP\Users\97355332\RcvdFiles\98577403_Marci\MCore.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 149901 Gefundene Viren: 30 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 94 Dauer des Scans bisher: 03:00:58 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 20:19:26,70 Batchende: 20:19:31,03 |
12.09.2007, 20:03 | #5 |
Administrator > Competence Manager | Schaffe es nicht Vundo.Gen zu entfernen - Was ist Check_LSA7.txt?Schädlinge im Ordner der Systemwiederherstellung: * Deaktiviere die Systemwiederherstellung -> So wird es gemacht. * Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart alles überprüfen. (Systemwiederherstellung kann nun wieder aktiviert werden.) Vundofix * Lade dir vundofix.exe * Doppelklick VundoFix.exe * Klicke "Scan" --> Vundo button. * Nach dem Scannen, klicke den "Remove" Vundo button. * Man wird nun gefragt, ob man "remove" will --> klicke YES * Danach werden alle Desktop-Symbole verschwinden * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK. ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
12.09.2007, 22:16 | #6 |
| Schaffe es nicht Vundo.Gen zu entfernen - Was ist Check_LSA7.txt? Ich glaube ComboFix hat mein Problem gelöst!!! ComboFix 07-09-10.6 - "Administrator" 2007-09-12 23:08:18.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.623 [GMT 2:00] * Created a new restore point . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\cookies.ini C:\WINDOWS\regedit.com C:\WINDOWS\system32\nnnnopq.dll C:\WINDOWS\system32\qtstv.bak1 C:\WINDOWS\system32\qtstv.bak2 C:\WINDOWS\system32\qtstv.ini C:\WINDOWS\system32\taskmgr.com C:\WINDOWS\system32\vtstq.dll ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\LEGACY_DOMAINSERVICE -------\DomainService ((((((((((((((((((((((((( Files Created from 2007-08-12 to 2007-09-12 ))))))))))))))))))))))))))))))) . 2007-09-12 23:06 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-09-12 20:19 <DIR> d-------- C:\bases_x 2007-09-12 16:33 <DIR> d-a------ C:\WINDOWS\zts2.exe 2007-09-12 16:33 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2007-09-12 16:33 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll 2007-09-12 16:33 <DIR> d-a------ C:\WINDOWS\rundll16.exe 2007-09-12 16:33 <DIR> d-a------ C:\WINDOWS\rundl132.dll 2007-09-12 16:33 <DIR> d-a------ C:\WINDOWS\logo1_.exe 2007-09-12 16:28 423,424 --a------ C:\WINDOWS\R.COM 2007-09-12 16:28 177,664 --a------ C:\WINDOWS\system32\T.COM 2007-09-12 13:38 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira 2007-09-12 13:11 <DIR> d-------- C:\VundoFix Backups 2007-09-11 22:32 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zylom 2007-09-11 22:32 <DIR> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Zylom 2007-09-05 20:39 <DIR> d-------- C:\Program Files\Telekom 2007-09-04 17:59 <DIR> d-------- C:\DOCUME~1\ADMINI~1\dwhelper 2007-09-03 19:42 <DIR> d-------- C:\WINDOWS\system32\quicktime 2007-09-03 19:42 <DIR> d-------- C:\Program Files\NimoCodec Pack 2007-09-03 19:42 <DIR> d-------- C:\Program Files\DivX 2007-08-31 13:56 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\PlayFirst 2007-08-31 13:56 <DIR> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\PlayFirst 2007-08-31 13:55 <DIR> d-------- C:\Program Files\Sat1 Spiele 2007-08-30 20:01 442,368 -ra------ C:\WINDOWS\system32\vp6vfw.dll 2007-08-30 12:32 <DIR> d-------- C:\Program Files\MSI 2007-08-30 11:29 <DIR> d-------- C:\Program Files\IsoBuster 2007-08-27 19:17 <DIR> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Skype 2007-08-27 19:16 <DIR> d-------- C:\Program Files\Skype 2007-08-27 19:16 <DIR> d-------- C:\Program Files\Common Files\Skype 2007-08-27 19:16 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype 2007-08-27 18:54 <DIR> d-------- C:\WINDOWS\Speech 2007-08-27 18:01 <DIR> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Creative 2007-08-27 17:57 <DIR> d-------- C:\Program Files\Creative 2007-08-26 12:50 <DIR> d-------- C:\WINDOWS\pss 2007-08-21 14:38 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE 2007-08-20 12:30 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2007-08-17 16:23 323,584 --a------ C:\WINDOWS\system32\nvwrsit.dll 2007-08-17 16:23 315,392 --a------ C:\WINDOWS\system32\nvwrshu.dll 2007-08-17 16:23 278,528 --a------ C:\WINDOWS\system32\nvrsit.dll 2007-08-17 16:23 266,240 --a------ C:\WINDOWS\system32\nvrsja.dll 2007-08-17 16:23 262,144 --a------ C:\WINDOWS\system32\nvrsko.dll 2007-08-17 16:23 258,048 --a------ C:\WINDOWS\system32\nvrshu.dll 2007-08-17 16:23 212,992 --a------ C:\WINDOWS\system32\nvwrsja.dll 2007-08-17 16:23 196,608 --a------ C:\WINDOWS\system32\nvwrsko.dll . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-09-12 15:22 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Azureus 2007-09-12 14:28 --------- d-------- C:\Program Files\Azureus 2007-09-12 14:09 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Lavasoft 2007-09-11 07:50 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Vso 2007-09-04 16:27 --------- d-------- C:\Program Files\ICQ 2007-09-02 10:41 --------- d--h----- C:\Program Files\InstallShield Installation Information 2007-08-30 20:19 --------- d-------- C:\Program Files\FlashFXP 2007-08-24 22:13 --------- d-------- C:\Program Files\Winamp 2007-08-24 21:51 --------- d-------- C:\Program Files\eMule 2007-07-26 12:49 223128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys 2007-07-26 12:49 --------- d-------- C:\Program Files\DAEMON Tools 2007-07-25 16:00 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Leadertech 2007-07-25 15:55 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Atari 2007-07-24 12:16 --------- d-------- C:\Program Files\Common Files\InstallShield 2007-07-23 16:26 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\BVRP Software 2007-07-23 13:36 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\dvdcss 2007-07-12 14:08 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Weaverslave 2007-07-01 10:46 24192 --a------ C:\DOCUME~1\ADMINI~1\usbsermptxp.sys 2007-07-01 10:46 22768 --a------ C:\DOCUME~1\ADMINI~1\usbsermpt.sys 2007-06-20 20:46 87608 --a------ C:\DOCUME~1\ADMINI~1\APPLIC~1\ezpinst.exe 2007-06-20 20:46 47360 --a------ C:\DOCUME~1\ADMINI~1\APPLIC~1\pcouffin.sys 2007-06-13 12:23 1033216 --a------ C:\WINDOWS\explorer.exe 2006-09-26 20:42 457 --a------ C:\Program Files\INSTALL.LOG . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nForce Tray Options"="sstray.exe" [2003-08-13 06:25 C:\WINDOWS\system32\sstray.exe] "ShStatEXE"="C:\Program Files\VirusScan\SHSTAT.exe" [2004-09-22 20:00] "McAfeeUpdaterUI"="C:\Program Files\Common Framework\UpdaterUI.exe" [2004-08-06 03:50] "Network Associates Error Reporting Service"="C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe" [2003-10-07 09:48] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-29 00:43] "nwiz"="nwiz.exe" [2007-06-29 00:43 C:\WINDOWS\system32\nwiz.exe] "HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe" [2004-12-14 18:06] "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 16:57] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-29 00:43] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TaskSwitchXP"="C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 00:29] "Creative WebCam Tray"="C:\Program Files\Creative\Shared Files\CamTray.exe" [2005-10-27 12:00] C:\DOCUME~1\ALLUSE~1\STARTM~1\Programs\Startup\ Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-11-28 16:42:01] Adobe Reader - Schnellstart.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26] HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-04 20:28:24] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "DisableStatusMessages"=0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"=1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMHelp"=1 (0x1) "NoRecentDocsMenu"=1 (0x1) "NoRecentDocsHistory"=1 (0x1) "NoSMMyPictures"=1 (0x1) "NoSMMyDocs"=1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSMHelp"=1 (0x1) "NoRecentDocsMenu"=1 (0x1) "NoRecentDocsHistory"=1 (0x1) "NoSMMyPictures"=1 (0x1) "NoSMMyDocs"=1 (0x1) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 C:\\WINDOWS\\system32\\vtstq [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\system32\drivers\si3112r.sys R0 SiWinAcc;SiWinAcc;C:\WINDOWS\system32\drivers\SiWinAcc.sys R1 NaiAvTdi1;NaiAvTdi1;C:\WINDOWS\system32\drivers\mvstdi5x.sys R3 V0330VID;WebCam Vista;C:\WINDOWS\system32\DRIVERS\V0330Vid.sys S3 EntDrv51;EntDrv51;\??\C:\WINDOWS\system32\drivers\EntDrv51.sys S3 Fadpu16E;Fadpu16E;\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Fadpu16E.sys S3 ulisa;Telekom ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] LocalService WebClient LmHosts upnphost SSDPSRV . Contents of the 'Scheduled Tasks' folder "2007-09-12 14:00:00 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job" - C:\Program Files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe . ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-09-12 23:11:43 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... C:\WINDOWS\WindowsShell.Manifest C:\WINDOWS\WindowsUpdate.log C:\WINDOWS\winhelp.exe C:\WINDOWS\winhlp32.exe C:\WINDOWS\wininit.ini C:\WINDOWS\winnt.bmp C:\WINDOWS\winnt256.bmp C:\WINDOWS\WINPHONE.INI C:\WINDOWS\WinSxS C:\WINDOWS\WMFDist11.log C:\WINDOWS\wmp11.log C:\WINDOWS\wmp11Uninst.log C:\WINDOWS\wmsetup.log C:\WINDOWS\wmsetup10.log C:\WINDOWS\WMSysPr9.prx C:\WINDOWS\Wudf01000Inst.log C:\WINDOWS\XPize C:\WINDOWS\Zapotec.bmp C:\WINDOWS\zts2.exe C:\WINDOWS\_default.pif scan completed successfully hidden files: 20 ************************************************************************** . Completion time: 2007-09-12 23:13:10 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-09-12 23:13 . --- E O F --- Was sollte ich noch tun um auf Nummer sicher zu gehen??? Ach und übrigens vielen Dank für die schnelle und wirklich idiotensichere Hilfe |
13.09.2007, 15:45 | #7 | |
Administrator > Competence Manager | Schaffe es nicht Vundo.Gen zu entfernen - Was ist Check_LSA7.txt?Zitat:
Mach mal noch folgendes: F-Secure Blacklight – Rootkitscanner: * Scanne dein System mit F-Secure Blacklight * Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.) Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
14.09.2007, 11:05 | #8 |
| Schaffe es nicht Vundo.Gen zu entfernen - Was ist Check_LSA7.txt? Also so ein Report kam nicht aber er hat gemeldet keine versteckten Gegenstände gefunden zu haben oder Dateien. Scheint also demnach alles i.O. zu sien Wenn ich noch etwas tun soll sag bescheid, ansonsten vielen Dank für die Hilfe!!!!!! :aplaus::aplaus::aplaus::aplaus::aplaus: |
14.09.2007, 11:42 | #9 | |
Administrator > Competence Manager | Schaffe es nicht Vundo.Gen zu entfernen - Was ist Check_LSA7.txt?Zitat:
Ein gewisses Restrisiko bleibt trotzdem immer bestehen! Dann noch viel Spass im Netz ...
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
Themen zu Schaffe es nicht Vundo.Gen zu entfernen - Was ist Check_LSA7.txt? |
administrator, adobe, antivir, antivirus, askbar, bho, desktop, drivers, entfernen, error, excel, explorer, firefox, gservice, helper, hijack, hijackthis, internet, internet explorer, mozilla, mozilla firefox, rundll, suchlauf, system, trojaner, vundo, vundo.gen, werbung, windows, windows xp |