|
Log-Analyse und Auswertung: Trojan.Adclicker & Igfxtray.exe - Wie entfernen?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
20.09.2007, 11:50 | #1 |
| Trojan.Adclicker & Igfxtray.exe - Wie entfernen? Hallo miteinander! Ich hab mal wieder ein kleines Problem: Der Laptop meines Bruders hat sich einen Virus geholt mit folgender Bezeichnung: Art des Virus: Trojan.Adclicker Infizierte Datei: Windows\System32\igftle.dll Nebenbei habe ich noch den Prozess "igfxtray.exe" gefunden. Im Hijackthis - Forum steht dass dies ein Trojaner sei (zusammengehörend?). Ausserdem ist auch folgendes Virus aufgetaucht: Trojan.vundo Ich habe schon verschiedenste Dinge versucht, kann jedoch die Datei "Igftle.dll" nicht löschen (wie man es auf de Symantec Page empfiehlt - Trojan.Adclicker – Symantec.com) Ich werde hier in kürzester Zeit noch mein Logfile posten damit ihr euch die Sache genauer anschauen könnt. Vielen Dank für eure Hilfe!! Bibilieli Geändert von Bibilieli (20.09.2007 um 12:01 Uhr) |
20.09.2007, 11:58 | #2 |
| Trojan.Adclicker & Igfxtray.exe - Wie entfernen? Logfile of Trend Micro HijackThis v2.0.2
__________________Scan saved at 12:53:49, on 20.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Dokumente und Einstellungen\DK\Anwendungsdaten\tmp30.tmp.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\hkcmd.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\NkbMonitor.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\UltimateZip 2007\uzqkst.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Java\jre1.6.0_01\bin\jucheck.exe C:\Programme\Norton AntiVirus\NAVW32.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\tmp31.tmp.dll O2 - BHO: (no name) - {e2f55700-ab0b-4bbf-bd77-54236b22ec3d} - C:\WINDOWS\system32\igftle.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip 2007\uzqkst.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\NkbMonitor.exe O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{54747687-3BFB-4B0F-A5D6-70A6300804FA}: NameServer = 212.90.199.2,164.128.36.34 O20 - AppInit_DLLs: c:\windows\system32\iiiijgf.dll O20 - Winlogon Notify: igftle - C:\WINDOWS\SYSTEM32\igftle.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: DomainService - Unknown owner - C:\Dokumente und Einstellungen\DK\Anwendungsdaten\tmp30.tmp.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe -- End of file - 9227 bytes PS: Die Anwendung "igfxtray.exe" habe ich manuell beendet, drum erscheint sie evtl. nicht auf dem Logfile... |
20.09.2007, 12:39 | #3 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojan.Adclicker & Igfxtray.exe - Wie entfernen? Die igfxtray.exe gehört normalerweise zu einem Treiber von Intel.
__________________Was den Vundo anbelangt, acker das hier mal ab: VundofixNach dem Neustart diese evtl. noch vorhandenen Einträge mit HijackThis fixen: Zitat:
1. Lade das filelist.zip auf deinen Desktop herunter.
__________________ |
20.09.2007, 15:19 | #4 |
| Trojan.Adclicker & Igfxtray.exe - Wie entfernen? Verzeichnis von C:\ 20.09.2007 16:08 1'055'379'456 hiberfil.sys 20.09.2007 16:08 1'585'446'912 pagefile.sys 20.09.2007 15:52 370 VundoFix.txt 29.08.2007 15:31 211 boot.ini 28.08.2007 17:27 59'708'602 SYM_REGISTRY_BACKUP.reg ----- System32 ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 68DB-D16F Verzeichnis von C:\WINDOWS\system32 20.09.2007 16:11 12'608 dn68dbd16f.dat 20.09.2007 16:10 5 igftle.dns 20.09.2007 16:08 29'898 ikhcore.log 20.09.2007 12:34 2'550 Uninstall.ico 20.09.2007 12:34 1'406 Help.ico 20.09.2007 12:34 30'590 pavas.ico 19.09.2007 17:10 249'852 TZLog.log 19.09.2007 16:44 1'170 wpa.dbl 06.09.2007 04:50 17'474'680 MRT.exe 27.08.2007 15:27 136'664 FNTCACHE.DAT 24.08.2007 15:28 155'648 NeroCheck.exe 24.08.2007 15:28 155'648 igfxtray.exe 24.08.2007 15:28 118'784 hkcmd.exe 24.08.2007 15:28 0 asfiles.txt 24.08.2007 13:24 380'684 perfh009.dat 24.08.2007 13:24 53'098 perfc009.dat 24.08.2007 13:24 391'574 perfh007.dat 24.08.2007 13:24 63'976 perfc007.dat 24.08.2007 13:24 897'778 PerfStringBackup.INI 23.08.2007 14:56 64'646 tmpA.tmp.dll Verzeichnis von C:\WINDOWS\Prefetch 20.09.2007 16:11 12'818 FIND.EXE-0EC32F1E.pf 20.09.2007 16:11 13'478 CMD.EXE-087B4001.pf 20.09.2007 16:11 46'172 UZIP.EXE-0473782D.pf 20.09.2007 16:10 134'252 IEXPLORE.EXE-2CA9778D.pf 20.09.2007 16:09 29'950 WMIPRVSE.EXE-28F301A9.pf 20.09.2007 16:09 21'356 MSMSGS.EXE-32066BA5.pf 20.09.2007 16:09 23'736 WUAUCLT.EXE-399A8E72.pf 20.09.2007 16:09 20'172 SVCHOST.EXE-3530F672.pf 20.09.2007 16:09 15'168 IPODSERVICE.EXE-233792DA.pf 20.09.2007 16:09 16'904 UZQKST.EXE-1A1975FC.pf 20.09.2007 16:09 20'646 VPNGUI.EXE-10986A0F.pf 20.09.2007 16:09 40'160 LUCOMS~1.EXE-02DB5950.pf 20.09.2007 16:09 15'028 OSA9.EXE-07EC1F61.pf 20.09.2007 16:09 16'924 NKBMONITOR.EXE-236165F0.pf 20.09.2007 16:09 15'422 CTFMON.EXE-0E17969B.pf 20.09.2007 16:09 13'244 READER_SL.EXE-36135169.pf 20.09.2007 16:09 12'374 JUSCHED.EXE-00566548.pf 20.09.2007 16:09 12'230 QTTASK.EXE-2D7EEF34.pf 20.09.2007 16:09 18'234 SYNTPENH.EXE-3967AE36.pf 20.09.2007 16:09 22'906 REALSCHED.EXE-0A2A7558.pf 20.09.2007 16:09 7'268 OLFSNT40.EXE-28F177BB.pf 20.09.2007 16:09 9'220 SYNTPLPR.EXE-0AB61C3B.pf 20.09.2007 16:09 16'782 HKCMD.EXE-1D05234B.pf 20.09.2007 16:09 16'744 IGFXTRAY.EXE-3391579A.pf 20.09.2007 16:09 21'132 ALG.EXE-0F138680.pf 20.09.2007 16:09 13'370 PDVDSERV.EXE-15757141.pf 20.09.2007 16:09 18'214 AGRSMMSG.EXE-0034A7F7.pf 20.09.2007 16:09 18'302 IMAPI.EXE-0BF740A4.pf 20.09.2007 16:09 8'608 SNDMON.EXE-0A6C21A2.pf 20.09.2007 16:09 8'900 NEROCHECK.EXE-092C6DFA.pf 20.09.2007 16:09 19'306 SOUNDMAN.EXE-19745A34.pf 20.09.2007 16:09 1'039'064 NTOSBOOT-B00DFAAD.pf 20.09.2007 16:07 13'866 REGEDIT.EXE-1B606482.pf 20.09.2007 16:04 15'664 NOTEPAD.EXE-336351A9.pf 20.09.2007 16:03 20'846 HIJACKTHIS.EXE-39024128.pf 20.09.2007 16:00 61'592 JUCHECK.EXE-22809EFC.pf 20.09.2007 16:00 59'846 LUCALLBACKPROXY.EXE-0B5F632D.pf 20.09.2007 16:00 21'476 JAVA.EXE-10C79773.pf 20.09.2007 16:00 36'242 AUPDATE.EXE-089630E1.pf 20.09.2007 15:52 9'304 VUNDOFIXSVC.EXE-18ADD79E.pf 20.09.2007 15:50 15'220 VUNDOFIX[1].EXE-23E1B0E8.pf 20.09.2007 13:34 10'500 LOGON.SCR-151EFAEA.pf 20.09.2007 13:14 33'102 DFRGNTFS.EXE-269967DF.pf 20.09.2007 13:14 16'504 DEFRAG.EXE-273F131E.pf 20.09.2007 13:14 207'624 Layout.ini 20.09.2007 12:51 15'730 HJTINSTALL[1].EXE-0561A8D6.pf 20.09.2007 12:43 21'406 VERCLSID.EXE-3667BD89.pf 20.09.2007 12:40 35'600 DRWTSN32.EXE-2B4B52AC.pf 20.09.2007 12:40 39'330 DWWIN.EXE-30875ADC.pf 20.09.2007 12:40 30'838 IEDW.EXE-2D047874.pf 20.09.2007 12:33 14'906 RUNDLL32.EXE-385F458A.pf 20.09.2007 12:32 38'668 NMAIN.EXE-1C7B4910.pf 20.09.2007 12:29 59'690 NAVW32.EXE-20C61389.pf 20.09.2007 12:29 18'254 TASKMGR.EXE-20256C55.pf 20.09.2007 12:28 54'866 ALEUPDAT.EXE-1ED60CC5.pf 20.09.2007 12:24 12'318 ITUNESHELPER.EXE-08906EB7.pf 20.09.2007 12:24 29'550 CCAPP.EXE-2EA3695D.pf 19.09.2007 17:10 19'964 WINDOWS-KB890830-V1.33-DELTA.-263BCBC4.pf 19.09.2007 17:10 53'136 MRT.EXE-1B4A8D49.pf 19.09.2007 17:10 51'740 MRTSTUB.EXE-2A00C6CE.pf 19.09.2007 17:10 70'780 UPDATE.EXE-04992586.pf 19.09.2007 17:10 7'960 TZCHANGE.EXE-19761EAC.pf 19.09.2007 17:09 57'848 LOGONUI.EXE-0AF22957.pf 19.09.2007 17:07 30'234 RUNDLL32.EXE-147710F4.pf 19.09.2007 16:56 17'930 RUNDLL32.EXE-47FD6B6C.pf 19.09.2007 16:56 9'250 TMP31.TMP.EXE-34E7D215.pf 19.09.2007 16:55 61'158 TMP30.TMP.EXE-355E3DAE.pf 19.09.2007 16:50 32'280 LUALL.EXE-0DE1F33B.pf 19.09.2007 16:49 43'660 UZIP.EXE-06FFC18F.pf 19.09.2007 16:49 21'476 CONTROL.EXE-013DBFB5.pf 19.09.2007 16:49 22'572 RUNDLL32.EXE-355B0858.pf 19.09.2007 16:49 23'596 RUNDLL32.EXE-1BC69D2D.pf 19.09.2007 16:47 75'004 UPDATE.EXE-39E17E08.pf 19.09.2007 16:45 77'832 REALPLAY.EXE-39F79CBD.pf 01.09.2007 09:17 61'634 HELPSVC.EXE-2878DDA2.pf 30.08.2007 00:04 18'052 IRFTP.EXE-3057F4F7.pf 29.08.2007 15:54 60'096 SWDOCTOR.EXE-13B584DD.pf 29.08.2007 15:43 25'956 RUNDLL32.EXE-1BC55A4F.pf 29.08.2007 15:43 25'460 RUNDLL32.EXE-44D4471A.pf 29.08.2007 15:43 27'366 ICWCONN1.EXE-009F492A.pf 29.08.2007 15:43 37'508 ACRORD32INFO.EXE-30CEC19C.pf 29.08.2007 15:42 16'584 SDHELP.EXE-00535571.pf 29.08.2007 15:42 13'476 NET.EXE-01A53C2F.pf 29.08.2007 15:42 14'740 NET1.EXE-029B9DB4.pf 29.08.2007 15:42 15'900 _REGDLL.TMP-1F27D9CA.pf 29.08.2007 15:42 21'696 REGSVR32.EXE-25EEFE2F.pf 29.08.2007 15:42 43'370 IS-LEC13.TMP-05FBDF2E.pf 29.08.2007 15:42 13'528 SD4SETUP.EXE-07C79368.pf 29.08.2007 15:42 15'202 ACRORD32.EXE-0EC716D9.pf 29.08.2007 15:41 82'526 EXPLORER.EXE-082F38A9.pf 29.08.2007 15:41 27'618 USERINIT.EXE-30B18140.pf 29.08.2007 15:36 13'386 RUNDLL32.EXE-451FC2C0.pf 29.08.2007 13:52 32'868 MSCONFIG.EXE-35E4DAE9.pf Verzeichnis von C:\WINDOWS 20.09.2007 16:09 1'870'794 WindowsUpdate.log 20.09.2007 16:09 159 wiadebug.log 20.09.2007 16:09 50 wiaservc.log 20.09.2007 16:08 0 0.log 20.09.2007 16:08 2'048 bootstat.dat 20.09.2007 16:07 32'176 SchedLgU.Txt 20.09.2007 12:35 32 pavsig.txt 20.09.2007 03:34 643'464 ntbtlog.txt 19.09.2007 17:10 669'076 iis6.log 19.09.2007 17:10 122'724 ntdtcsetup.log 19.09.2007 17:10 205'088 comsetup.log 19.09.2007 17:10 32'691 ocmsn.log 19.09.2007 17:10 274'381 tsoc.log 19.09.2007 17:10 1'374 imsins.log 19.09.2007 17:10 30'217 tabletoc.log 19.09.2007 17:10 21'302 KB933360.log 19.09.2007 17:10 103'509 netfxocm.log 19.09.2007 17:10 41'023 MedCtrOC.log 19.09.2007 17:10 285'920 ocgen.log 19.09.2007 17:10 29'608 msgsocm.log 19.09.2007 17:10 586'557 FaxSetup.log 19.09.2007 17:10 185'104 msmqinst.log 31.08.2007 08:58 907'466 setupapi.log 29.08.2007 15:31 744 win.ini 29.08.2007 15:31 227 system.ini 28.08.2007 17:16 1'864 OEWABLog.txt 28.08.2007 17:16 6'894 wmsetup.log 27.08.2007 15:43 1'374 imsins.BAK 27.08.2007 15:43 27'079 KB927779.log 27.08.2007 15:43 25'224 updspapi.log 27.08.2007 15:43 23'993 KB923414.log 27.08.2007 15:43 25'053 KB928255.log 27.08.2007 15:42 25'185 KB931784.log 27.08.2007 15:42 23'484 KB911562.log 27.08.2007 15:42 20'617 KB924667.log 27.08.2007 15:42 23'572 KB900485.log 27.08.2007 15:42 22'567 KB924496.log 27.08.2007 15:42 22'711 KB921503.log 27.08.2007 15:42 22'197 KB926436.log 27.08.2007 15:41 22'509 KB930178.log 27.08.2007 15:41 22'212 KB914388.log 27.08.2007 15:41 21'239 KB932168.log 27.08.2007 15:41 17'616 KB923191.log 27.08.2007 15:41 19'864 KB908531.log 27.08.2007 15:41 23'403 KB937143.log 27.08.2007 15:28 923 spupdsvc.log 24.08.2007 21:10 36'780 KB899587.log 24.08.2007 21:10 36'899 KB927802.log 24.08.2007 21:10 34'653 KB922819.log 24.08.2007 21:10 32'800 KB911927.log 24.08.2007 21:10 34'668 KB901017.log 24.08.2007 21:10 35'685 KB899591.log 24.08.2007 21:10 23'257 KB923723.log 24.08.2007 21:10 32'335 KB920685.log 24.08.2007 21:10 35'302 KB893756.log 24.08.2007 21:09 35'704 KB923980.log 24.08.2007 21:09 34'497 KB911280.log 24.08.2007 21:09 32'939 KB936021.log 24.08.2007 21:09 30'597 KB938828.log 24.08.2007 21:09 31'039 KB896423.log 24.08.2007 21:09 30'733 KB924270.log 24.08.2007 21:09 33'071 KB931261.log 24.08.2007 21:09 26'055 KB936782.log 24.08.2007 21:08 25'398 KB927891.log 24.08.2007 21:08 31'775 KB936357.log 24.08.2007 21:08 41'038 KB931836.log 24.08.2007 21:08 33'165 KB938829.log 24.08.2007 21:08 33'084 KB896358.log 24.08.2007 21:08 26'498 KB925398.log 24.08.2007 21:07 24'898 KB910437.log 24.08.2007 21:07 24'732 KB911564.log 24.08.2007 21:07 31'893 KB925902.log 24.08.2007 21:07 28'535 KB929123.log 24.08.2007 21:07 29'849 KB920670.log 24.08.2007 21:07 30'944 KB918439.log 24.08.2007 21:06 34'470 KB902400.log 24.08.2007 21:03 23'657 KB890046.log 24.08.2007 21:03 26'316 KB920872.log 24.08.2007 21:03 27'636 KB919007.log 24.08.2007 21:03 25'880 KB917344.log 24.08.2007 21:03 27'163 KB905414.log 24.08.2007 21:03 25'925 KB917953.log 24.08.2007 21:03 24'616 KB901214.log 24.08.2007 21:02 19'272 KB922582.log 24.08.2007 21:02 23'954 KB918118.log 24.08.2007 21:02 24'840 KB926255.log 24.08.2007 21:02 22'718 KB900725.log 24.08.2007 21:02 23'143 KB938127.log 24.08.2007 21:02 22'730 KB920213.log 24.08.2007 21:02 22'210 KB935840.log 24.08.2007 21:02 22'725 KB930916.log 24.08.2007 21:01 20'355 KB904706.log 24.08.2007 21:01 20'476 KB905749.log 24.08.2007 21:01 15'840 KB923689.log 24.08.2007 21:01 21'674 KB913580.log 24.08.2007 21:01 18'961 KB896428.log 24.08.2007 21:01 20'684 KB935839.log 24.08.2007 21:00 21'791 KB894391.log 24.08.2007 21:00 13'177 KB908519.log 24.08.2007 21:00 19'953 KB920683.log 24.08.2007 21:00 18'461 KB914389.log 24.08.2007 21:00 20'541 KB928843.log 24.08.2007 13:28 10'188 KB893803v2.log 24.08.2007 13:24 7'079 KB898461.log 24.08.2007 13:24 6'177 KB916595.log 21.08.2007 21:46 69 NeroDigital.ini ----- Tasks ---------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 68DB-D16F Verzeichnis von C:\WINDOWS\tasks 20.09.2007 16:08 6 SA.DAT 20.09.2007 16:00 354 At17.job 20.09.2007 15:00 354 At16.job 20.09.2007 13:59 354 At15.job 20.09.2007 13:00 354 At14.job 19.09.2007 17:00 354 At18.job 01.09.2007 20:00 354 At21.job 01.09.2007 19:00 354 At20.job 01.09.2007 18:00 354 At19.job 01.09.2007 12:00 354 At13.job 01.09.2007 11:00 354 At12.job 01.09.2007 10:00 354 At11.job 01.09.2007 09:00 354 At10.job 01.09.2007 08:00 354 At9.job 01.09.2007 07:00 354 At8.job 01.09.2007 06:00 354 At7.job 01.09.2007 05:00 354 At6.job 01.09.2007 04:00 354 At5.job 01.09.2007 03:00 354 At4.job 01.09.2007 02:00 354 At3.job 01.09.2007 01:00 354 At2.job 01.09.2007 00:00 354 At1.job 31.08.2007 23:00 354 At24.job 31.08.2007 22:00 354 At23.job 31.08.2007 21:00 354 At22.job 31.08.2007 20:00 562 Norton AntiVirus - Meinen Computer prfen - DK.job ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 68DB-D16F Verzeichnis von C:\DOKUME~1\DK\LOKALE~1\Temp 20.09.2007 16:11 120'411 filelist.txt 20.09.2007 16:00 4'242 jusched.log 20.09.2007 15:50 32'768 ~DFDA0D.tmp 20.09.2007 12:51 114'688 ~DF508A.tmp 21.08.2007 20:33 117 D653F3EC.TMP Verzeichnis von C:\DOKUME~1\DK\LOKALE~1\Temp 20.09.2007 16:11 120'411 filelist.txt 20.09.2007 16:00 4'242 jusched.log 20.09.2007 15:50 32'768 ~DFDA0D.tmp 20.09.2007 12:51 114'688 ~DF508A.tmp 21.08.2007 20:33 117 D653F3EC.TMP Vielen Dank, ich glaube Vundo ist verschwunden. Frage: Als ich die Einträge mit HJT fixte waren danach alle verschwunden (also einfach nicht mehr sichtbar) und beim erneuten Scan ist O2 - BHO: (no name) - {e2f55700-ab0b-4bbf-bd77-54236b22ec3d} - C:\WINDOWS\system32\igftle.dll erneut erschienen. O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\tmp31.tmp.dll war (wahrscheinlich dank Vundofix) nicht vorhanden. |
20.09.2007, 15:32 | #5 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojan.Adclicker & Igfxtray.exe - Wie entfernen? Ein paar Reste sind da noch. Um diese offensichtlichen Dateien zu löschen, bitte so vorgehen: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:Führ danach folgende Tools bzw. Anleitungen aus und poste die Logfiles: - eScan
__________________ Logfiles bitte immer in CODE-Tags posten |
20.09.2007, 15:59 | #6 |
| Trojan.Adclicker & Igfxtray.exe - Wie entfernen? Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\lostqpsl ******************* Script file located at: vmyjario Could not open script file! Error Could not open script file! Status: 0xc000003b Abort! Das ist der Inhalt der .txt Datei. Beim Neustart blieb der Desktop blank und ich mich erneut ab- und anmelden. Danach kam zuerst die .txt Datei, danach eine Viruswarnung dass Igftle.dll noch immer vorhanden sei. <logfiles kommen gleich.... |
20.09.2007, 16:16 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojan.Adclicker & Igfxtray.exe - Wie entfernen? Ähm, Adminrecht haste du doch oder? Die sind für den Avenger erforderlich. Überprüf auch mal bitte ob Windows script Host aktiv ist. Öffne regedit und navigiere zu HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows Script Host/Settings stell sicher, dass rechts die Zeichenfolge "Enabled" den Wert 1 hat. Wenn nicht auf 1 setzen! Probier es dann mit dem Avenger noch einmal. http://www.trojaner-board.de/76731-i...-igfxtray.html
__________________ Logfiles bitte immer in CODE-Tags posten |
20.09.2007, 17:54 | #8 |
| Trojan.Adclicker & Igfxtray.exe - Wie entfernen? Ja klar, Admin Rechte hab ich natürlich. Hab die Werte angepasst, Avenger wird gleich nochmals ausgeführt. Hier noch die Resultate des escans: File C:\WINDOWS\system32\igftle.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ke". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\igftle.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ke". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\igftle.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ke". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "w32.rontokbro.d@mm Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\ComPlusMetaData.MsCorHost" verweist auf das ungültige Objekt "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\ComPlusMetaData.MsCorHost.2" verweist auf das ungültige Objekt "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\SymControlChecker.ControlInstaller" verweist auf das ungültige Objekt "{AF40C6B3-6FB5-41bb-B198-F89CD78371FD}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\SymControlChecker.ControlInstaller.1" verweist auf das ungültige Objekt "{AF40C6B3-6FB5-41bb-B198-F89CD78371FD}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCR\SymWriter.pdb" verweist auf das ungültige Objekt "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt ""C:\PROGRA~1\WINDOW~2\wmplayer.exe"". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "C:\PROGRA~1\WINDOW~2\wmplayer.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Nikon\Message Center\postinstall.bat". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Nikon\Message Center\preinstall.bat". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\DIMM.DLL". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Adobe\Acrobat 6.0\Reader\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Themes\bars\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Themes\checkers\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Themes\factory\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Themes\global\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Themes\nature\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Themes\blitz\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Themes\poetic\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Themes\sandston\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Themes\topo\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Themes\willow\". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".cue". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".DSC". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".hrf". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".ithmb". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".lhp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".MRK". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".NJB". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".pcf". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Alcohol Toolbar". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Hattrick Buddy". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "M886903". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (1.5)". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "QuickTime". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{55BF0E5F-EA8E-4C13-A8B4-9E4857F5A2DE}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{5878FF02-3B8F-4309-B4E5-0D3DB6F2E8E6}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{5B433733-BB31-4B40-BCBA-DDED37626641}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "{AC76BA86-7AD7-1031-7B44-A00000000001}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\system32\igftle.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ke". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\308B6095//CryptFF infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\308B6095.exe//CryptFF infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\309B3283//CryptFF infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\309E5C80.exe//CryptFF infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\4EA6112C//CryptFF infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\4EA6112C.exe//CryptFF infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. File C:\Programme\Norton AntiVirus\Quarantine\4EAA3B28.dll//CryptFF markiert als "not-a-virus:AdWare.Win32.Virtumonde.kw". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\4EB00F21//CryptFF infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\4EB00F21.exe//CryptFF infiziert von "Trojan.Win32.Agent.aoy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. File C:\Windows\system32\igftle.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.ke". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Datei D:\Systemdaten\RECYCLER\S-1-5-21-3375262784-2605880172-3649599875-1005\Dd2\setup\uninst.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Thu Sep 20 17:47:39 2007 => ***** Scan vollständig. ***** Thu Sep 20 17:47:39 2007 => Gescannte Dateien: 64881 Thu Sep 20 17:47:39 2007 => Gefundene Viren: 17 Thu Sep 20 17:47:39 2007 => Anzahl der desinfizierten Dateien: 0 Thu Sep 20 17:47:39 2007 => Umbenannte Dateien: 0 Thu Sep 20 17:47:39 2007 => Anzahl der gelöschten Dateien: 0 Thu Sep 20 17:47:39 2007 => Anzahl Fehler: 42 Thu Sep 20 17:47:39 2007 => Dauer des Scans bisher: 00:39:25 Thu Sep 20 17:47:39 2007 => Virus-Datenbank Datum: 9/18/2007 Thu Sep 20 17:47:39 2007 => Virus-Datenbank Zähler: 420130 Thu Sep 20 17:47:39 2007 => Scan vollständig. |
20.09.2007, 18:03 | #9 |
| Trojan.Adclicker & Igfxtray.exe - Wie entfernen? Hier sind noch die Resultate des Avengers: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\demctqcu ******************* Script file located at: \??\C:\njoxcsjs.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\igftle.dll deleted successfully. File C:\WINDOWS\system32\tmp31.tmp.dll not found! Deletion of file C:\WINDOWS\system32\tmp31.tmp.dll failed! Could not process line: C:\WINDOWS\system32\tmp31.tmp.dll Status: 0xc0000034 File C:\WINDOWS\system32\dn68dbd16f.dat deleted successfully. File C:\WINDOWS\system32\igftle.dns deleted successfully. File C:\WINDOWS\system32\ikhcore.log deleted successfully. File C:\WINDOWS\system32\tmpA.tmp.dll deleted successfully. File C:\WINDOWS\tasks\At17.job deleted successfully. File C:\WINDOWS\tasks\At16.job deleted successfully. File C:\WINDOWS\tasks\At15.job deleted successfully. File C:\WINDOWS\tasks\At14.job deleted successfully. File C:\WINDOWS\tasks\At18.job deleted successfully. File C:\WINDOWS\tasks\At19.job deleted successfully. File C:\WINDOWS\tasks\At20.job deleted successfully. File C:\WINDOWS\tasks\At21.job deleted successfully. File C:\WINDOWS\tasks\At1.job deleted successfully. File C:\WINDOWS\tasks\At2.job deleted successfully. File C:\WINDOWS\tasks\At3.job deleted successfully. File C:\WINDOWS\tasks\At4.job deleted successfully. File C:\WINDOWS\tasks\At5.job deleted successfully. File C:\WINDOWS\tasks\At6.job deleted successfully. File C:\WINDOWS\tasks\At7.job deleted successfully. File C:\WINDOWS\tasks\At8.job deleted successfully. File C:\WINDOWS\tasks\At9.job deleted successfully. File C:\WINDOWS\tasks\At10.job deleted successfully. File C:\WINDOWS\tasks\At11.job deleted successfully. File C:\WINDOWS\tasks\At12.job deleted successfully. File C:\WINDOWS\tasks\At13.job deleted successfully. File C:\WINDOWS\tasks\At22.job deleted successfully. File C:\WINDOWS\tasks\At23.job deleted successfully. File C:\WINDOWS\tasks\At24.job deleted successfully. Completed script processing. ******************* Finished! Terminate.Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\demctqcu ******************* Script file located at: \??\C:\njoxcsjs.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\igftle.dll deleted successfully. File C:\WINDOWS\system32\tmp31.tmp.dll not found! Deletion of file C:\WINDOWS\system32\tmp31.tmp.dll failed! Could not process line: C:\WINDOWS\system32\tmp31.tmp.dll Status: 0xc0000034 File C:\WINDOWS\system32\dn68dbd16f.dat deleted successfully. File C:\WINDOWS\system32\igftle.dns deleted successfully. File C:\WINDOWS\system32\ikhcore.log deleted successfully. File C:\WINDOWS\system32\tmpA.tmp.dll deleted successfully. File C:\WINDOWS\tasks\At17.job deleted successfully. File C:\WINDOWS\tasks\At16.job deleted successfully. File C:\WINDOWS\tasks\At15.job deleted successfully. File C:\WINDOWS\tasks\At14.job deleted successfully. File C:\WINDOWS\tasks\At18.job deleted successfully. File C:\WINDOWS\tasks\At19.job deleted successfully. File C:\WINDOWS\tasks\At20.job deleted successfully. File C:\WINDOWS\tasks\At21.job deleted successfully. File C:\WINDOWS\tasks\At1.job deleted successfully. File C:\WINDOWS\tasks\At2.job deleted successfully. File C:\WINDOWS\tasks\At3.job deleted successfully. File C:\WINDOWS\tasks\At4.job deleted successfully. File C:\WINDOWS\tasks\At5.job deleted successfully. File C:\WINDOWS\tasks\At6.job deleted successfully. File C:\WINDOWS\tasks\At7.job deleted successfully. File C:\WINDOWS\tasks\At8.job deleted successfully. File C:\WINDOWS\tasks\At9.job deleted successfully. File C:\WINDOWS\tasks\At10.job deleted successfully. File C:\WINDOWS\tasks\At11.job deleted successfully. File C:\WINDOWS\tasks\At12.job deleted successfully. File C:\WINDOWS\tasks\At13.job deleted successfully. File C:\WINDOWS\tasks\At22.job deleted successfully. File C:\WINDOWS\tasks\At23.job deleted successfully. File C:\WINDOWS\tasks\At24.job deleted successfully. Completed script processing. ******************* Finished! Terminate. PS: Bisher keine Viruswarnung seit dem Neustart mehr gekommen. Frage: Brauche ich Silentrunners und Blacklight auch noch auszuführen? |
20.09.2007, 18:11 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojan.Adclicker & Igfxtray.exe - Wie entfernen? Ok. Das sieht schon besser aus. Der Avenger konnte alle Dateien löschen, bis auf eine, das liegt aber daran, dass die schon gelöscht wurde, wohl vom vundofix. escan (mwav) erzeugt leider größtenteils Fehlalarme, aber die angezeigten Dateien sind schon gelöscht bzw. liegen in Quarantäne von NAV- sollte keine Bedrohung darstellen. Ein paar Reste liegen als "Datenmüll" herum (Papierkorb z.B.), kannst du leeren. Vllt. mal bei der gelegenheit auch das System mit Hilfe des CCleaner entschlacken. Jetzt fehlt noch der sicherheitscheck mit Blacklight. Dann sehen wir weiter. Edit: Achso, silentrunners nat. auch! Das dient zur Überprüfung, ob alles offensichtliche auch entfernt wurde.
__________________ Logfiles bitte immer in CODE-Tags posten |
20.09.2007, 23:01 | #11 |
| Trojan.Adclicker & Igfxtray.exe - Wie entfernen? Vielen Dank!! Blacklight hat nichts mehr gefunden, doch komischerweise ist der Vundo-Virus wieder aufgetaucht und zwar in der gleichen Datei die ich heute schon gelöscht habe. Die Viruswarnung kam jedes Mal wenn ich Silentrunners trotz Empfehlung von Norton zugelassen habe - "bösartiges Skript entdeckt". Ich bin gerade dabei das Vundo Removal Tool von Symantec auszuführen, da der Link den du gepostet hast nicht mehr erreichbar ist nachdem die Virenmeldung erfolgt ist. Komisch. Edith meint: Hmmm... Vundo wurde nicht gefunden, denkst du dass dies eine Fehlermeldung ist die mit dem Silentrunner zusammenhängt? Geändert von Bibilieli (20.09.2007 um 23:14 Uhr) |
21.09.2007, 02:27 | #12 |
| Trojan.Adclicker & Igfxtray.exe - Wie entfernen? Guten Morgen! Und sonst? Also mal abgesehen von der Meldung, die sich auf das Script bezieht - gibt es noch eine andere, die auf die besagte Datei bezogen ist? Wenn ja, wie genau lautet diese Meldung? |
21.09.2007, 14:09 | #13 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojan.Adclicker & Igfxtray.exe - Wie entfernen?Zitat:
http://www.trojaner-board.de/76731-i...-igfxtray.html
__________________ Logfiles bitte immer in CODE-Tags posten |
21.09.2007, 15:08 | #14 |
| Trojan.Adclicker & Igfxtray.exe - Wie entfernen? @ mmk: Nein, dies ist die einzige Meldung. Der Virus ist nicht vorhanden, der PC ist clean. : Die Warnung erscheint einfach erneut wenn silentrunners zugelassen wird (aber nur einmalig), auch danach ist auf dem PC nichts zu finden (weder die infizierte Datei noch sonst eine Meldung). Aus diesem grund habe ich Silentrunners jetzt mal ausgeführt und nichts verdächtiges gefunden! @ Cosinus: Hat sich denke ich erledigt. Vielen Dank für die Hilfe, bin dir extrem dankbar! :aplaus:Find ich bewundernswert mit welchem Elan ihr hier zu Werk geht. Vor Allem dass ihr es schafft mit eurem Wissen alles so "tubelisicher" zu erklären (wie man in der CH so schön sagt ;-)) Alles Gute und schönes Wochenende wüscht euch Bibilieli |
Themen zu Trojan.Adclicker & Igfxtray.exe - Wie entfernen? |
datei, dinge, entfernen, folge, folgendes, forum, hijack, hijackthis, hilfe!, kleines, laptop, logfile, löschen, nicht löschen, posten, problem, prozess, sache, symantec, system, system32, trojaner, virus, wie entfernen, wie entfernen?, windows |