|
Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Injekt.KQ.1 kann nicht gelöscht werden.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.11.2007, 20:51 | #16 |
| Trojaner TR/Injekt.KQ.1 kann nicht gelöscht werden. er kann nicht gelöscht werden? also irgendetwas sperrt den zugriff afu die datei? probier mal bitte folgendes programm http://www.shareware.de/software/Programm_GiPo_MoveOnBoot_Copy_Move_Delete_on_Next_Boot_6060.html damit wird die datei beim näxtn system start gelöscht. |
27.11.2007, 23:09 | #17 |
| Trojaner TR/Injekt.KQ.1 kann nicht gelöscht werden. Hallo
__________________lass diese Datei mal bei Virustotal auswerten : C:\WINDOWS\system32\qdv32.dll Dann versuch mit Avenger zu löschen Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Code:
ATTFilter Files to delete: C:\WINDOWS\system32\cbxwuvt.dll C:\WINDOWS\system32\qdv32.dll 4.) Danach das System unverzüglich neu starten lassen 5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile. Poste ausserdem den Inhalt der C:\avenger.txt Datei. Starte deinen Rechner neu und anschließend erstelle bitte eine Übersicht mit der Filelist sowie ein frisches HijackThis Log. Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp MFG |
28.11.2007, 09:16 | #18 |
| Trojaner TR/Injekt.KQ.1 kann nicht gelöscht werden. Hier die Auswertung von Virus Total:
__________________Virus Total Datei qdv32.dll empfangen 2007.11.28 08:56:28 (CET) Ergebnis: 19/32 (59.38%) Antivirus: Version: letzte aktualisierung: Ergebnis: AhnLab-V3 2007.11.28.1 2007.11.28 - AntiVir 7.6.0.34 2007.11.28 ADSPY/Stud.A.43 Authentium 4.93.8 2007.11.28 - Avast 4.7.1074.0 2007.11.27 Win32:Trojano-3384 AVG 7.5.0.503 2007.11.27 Adware Generic2.AMI BitDefender 7.2 2007.11.28 Adware.Stud.Y CAT-QuickHeal 9.00 2007.11.27 AdWare.Stud.a (Not a Virus) ClamAV 0.91.2 2007.11.28 Trojan.BHO-83 DrWeb 4.44.0.09170 2007.11.28 - eSafe 7.0.15.0 2007.11.21 - eTrust-Vet 31.3.5333 2007.11.28 - Ewido 4.0 2007.11.27 Adware.Stud FileAdvisor 1 2007.11.28 - Fortinet 3.14.0.0 2007.11.28 - F-Prot 4.4.2.54 2007.11.28 W32/Adware.KBB F-Secure 6.70.13030.0 2007.11.28 - Ikarus T3.1.1.12 2007.11.28 not-a-virus:AdWare.Win32.Stud.d Kaspersky 7.0.0.125 2007.11.28 not-a-virus:AdWare.Win32.Stud.a McAfee 5172 2007.11.27 - Microsoft 1.3007 2007.11.28 Trojan:Win32/Webprefix NOD32v2 2690 2007.11.28 a variant of Win32/Adware.BHO.AA Norman 5.80.02 2007.11.27 W32/Stud.AE Panda 9.0.0.4 2007.11.26 - Prevx1 V2 2007.11.28 - Rising 20.20.20.00 2007.11.28 AdWare.Win32.Stud.a Sophos 4.23.0 2007.11.28 MapKon Sunbelt 2.2.907.0 2007.11.27 - Symantec 10 2007.11.28 Adware.Webprefix TheHacker 6.2.9.144 2007.11.28 Adware/Stud.a VBA32 3.12.2.5 2007.11.27 suspected of Trojan-Downloader.Agent.47 VirusBuster 4.3.26:9 2007.11.27 - Webwasher-Gate 6.0.1 2007.11.28 Ad-Spyware.Stud.A.43 ******************************************************************** weitere Informationen: File size: 25739 bytes MD5: 21ed7d130b3ce79de7e43e20d215414f SHA1: 3cc53fd1a4ffaebb5bd42a6d699550bcc1e9f06a packers: UPX packers: UPX packers: UPX packers: UPX ******************************************************************** |
28.11.2007, 11:23 | #19 |
| Trojaner TR/Injekt.KQ.1 kann nicht gelöscht werden. Hier der neue escan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.5.6 Sprache: German Virus-Datenbank Datum: 11/23/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({0ba4ac17-3329-4d46-8cf7-40a8f1cb3dca})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({30571f17-3201-47ed-a8ac-254f3d5c5b5c})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({3c43bba2-9e93-4758-8669-adce56687e0c})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({4898d118-1d1e-4a2d-a8a3-4a75bf333cd5})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({4acc4c22-2baf-46ca-8287-232e785e77ce})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({87b24642-366e-4393-851a-b6cec5d7e641})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({8c22668a-d7d8-42f5-99e8-4f30ed0d18b0})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({963dfd8c-2e6a-4db4-bcb3-9d5c78142e41})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({9c1ab46a-1fe8-4953-be30-327e0d6f7d45})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({c5a786b9-3bd6-4a4e-b4d7-9b752138dc4b})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({d044d89c-01e4-4722-8812-8df543680606})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({d3e78b93-4b65-405d-9095-e82b78555173})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({dd55f5c5-de77-4de1-a139-1025c66acfb0})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({e6857874-b535-46d7-a3eb-4103614e91fc})! Action taken: Keine Aktion vorgenommen. System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\System Volume Information\_restore{2FC490C0-6011-4ABF-9D4D-7E9F003547B2}\RP117\A0022697.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2FC490C0-6011-4ABF-9D4D-7E9F003547B2}\RP117\A0022700.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2FC490C0-6011-4ABF-9D4D-7E9F003547B2}\RP120\A0023290.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2FC490C0-6011-4ABF-9D4D-7E9F003547B2}\RP129\A0023698.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{2FC490C0-6011-4ABF-9D4D-7E9F003547B2}\RP162\A0033206.dll infiziert von "Trojan.Win32.Inject.kq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\avenger\backup.zip/avenger/cbxwuvt.dll markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{2FC490C0-6011-4ABF-9D4D-7E9F003547B2}\RP150\A0030402.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{2FC490C0-6011-4ABF-9D4D-7E9F003547B2}\RP150\A0030404.exe//data0017 markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bm". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\System Volume Information\_restore{2FC490C0-6011-4ABF-9D4D-7E9F003547B2}\RP162\A0033207.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKCR\magnet !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Invalid Entry DllName = cbxwuvt.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbxwuvt). Deleting Registry Key cbxwuvt... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 112562 Gefundene Viren: 32 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 19 Dauer des Scans bisher: 01:41:40 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 11:17:31,78 Batchende: 11:17:54,73 |
28.11.2007, 11:25 | #20 |
| Trojaner TR/Injekt.KQ.1 kann nicht gelöscht werden. Hier die avanger.txt Datei: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\ljyuatah ******************* Script file located at: \??\C:\WINDOWS\kqujayqt.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\cbxwuvt.dll deleted successfully. File C:\WINDOWS\system32\qdv32.dll deleted successfully. Completed script processing. ******************* Finished! Terminate. |
28.11.2007, 11:33 | #21 |
| Trojaner TR/Injekt.KQ.1 kann nicht gelöscht werden. Hier die gewünschte filelist: ----- Root ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3868-DD20 Verzeichnis von C:\ 28.11.2007 11:19 805.306.368 pagefile.sys 28.11.2007 11:07 0 23990098.$$$ 28.11.2007 09:18 1.192 avenger.txt 25.11.2007 22:02 14.144 ComboFix.txt ----- System32 ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3868-DD20 Verzeichnis von C:\WINDOWS\system32 28.11.2007 11:25 1.739 hhhkj.ini 28.11.2007 11:19 88.566 nvapps.xml 26.11.2007 19:40 320.608 jkhhh.dll 22.11.2007 18:26 2.206 wpa.dbl 28.10.2007 12:52 13.011 SpoonUninstall-dBpoweramp Music Converter.dat 28.10.2007 12:52 33.846 SpoonUninstall-dBpoweramp Music Converter.bmp 28.10.2007 12:51 4.229.496 SpoonUninstall.exe 28.10.2007 12:14 392.296 perfh009.dat 28.10.2007 12:14 58.596 perfc009.dat 28.10.2007 12:14 405.118 perfh007.dat 28.10.2007 12:14 70.580 perfc007.dat 28.10.2007 12:14 938.224 PerfStringBackup.INI ----- Prefetch ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3868-DD20 Verzeichnis von C:\WINDOWS\Prefetch 28.11.2007 11:25 11.006 FIND.EXE-0EC32F1E.pf 28.11.2007 11:25 23.476 CMD.EXE-087B4001.pf 28.11.2007 11:25 31.884 WINRAR.EXE-3588DFE8.pf 28.11.2007 11:23 14.244 VERCLSID.EXE-3667BD89.pf 28.11.2007 11:22 30.330 NOTEPAD.EXE-336351A9.pf 28.11.2007 11:21 22.944 WUAUCLT.EXE-399A8E72.pf 28.11.2007 11:21 76.288 FIREFOX.EXE-1D57670A.pf 28.11.2007 11:21 67.960 NMIndexStoreSvr.exe-1DBCF9FD.pf 28.11.2007 11:21 15.286 ALG.EXE-0F138680.pf 28.11.2007 11:21 13.174 IPODSERVICE.EXE-233792DA.pf 28.11.2007 11:21 15.020 NMINDEXINGSERVICE.EXE-19799BA6.pf 28.11.2007 11:21 29.610 SVCHOST.EXE-3530F672.pf 28.11.2007 11:21 16.910 IMAPI.EXE-0BF740A4.pf 28.11.2007 11:21 11.306 PNKBSTRA.EXE-188A67A9.pf 28.11.2007 11:21 8.006 SMAGENT.EXE-3A3B0271.pf 28.11.2007 11:21 11.900 RICHVIDEO.EXE-116D67F9.pf 28.11.2007 11:21 23.708 RUNDLL32.EXE-35A483DA.pf 28.11.2007 11:21 9.342 APPLEMOBILEDEVICESERVICE.EXE-0B00542D.pf 28.11.2007 11:21 20.924 NVSVC32.EXE-1F9EED18.pf 28.11.2007 11:21 7.796 NMSACCESSU.EXE-39953FB6.pf 28.11.2007 11:21 30.182 SCHED.EXE-236A886F.pf 28.11.2007 11:21 18.904 RUNDLL32.EXE-1857459C.pf 28.11.2007 11:21 48.576 AVGUARD.EXE-3490B18B.pf 28.11.2007 11:21 12.248 GETPOPUPINFO.EXE-0D9AB107.pf 28.11.2007 11:21 797.930 NTOSBOOT-B00DFAAD.pf 28.11.2007 09:17 19.302 TU_LOGONUI.EXE-381C5638.pf 28.11.2007 09:15 22.406 GUARDGUI.EXE-1BD45C30.pf 28.11.2007 09:13 15.604 AVENGER.EXE-1CC6BE8C.pf 28.11.2007 08:48 140.292 VLC.EXE-000DF0FF.pf 28.11.2007 08:48 17.918 TASKMGR.EXE-20256C55.pf 28.11.2007 08:47 23.192 NMBGMONITOR.EXE-0BC10095.pf 28.11.2007 08:47 14.558 PDVDSERV.EXE-15757141.pf 28.11.2007 08:47 15.714 ITUNESHELPER.EXE-08906EB7.pf 28.11.2007 08:47 39.036 RUNDLL32.EXE-30908AFF.pf 28.11.2007 08:47 10.426 READER_SL.EXE-1EA4C8B2.pf 28.11.2007 08:47 21.958 LANGUAGE.EXE-138EA259.pf 28.11.2007 08:47 14.722 ACROMAPP.EXE-1B52EB23.pf 28.11.2007 08:47 62.008 WMIPRVSE.EXE-28F301A9.pf 28.11.2007 08:47 22.528 RUNDLL32.EXE-2AFB7DC8.pf 28.11.2007 08:47 40.564 JUSCHED.EXE-19D14246.pf 28.11.2007 08:47 12.298 NWIZ.EXE-2D0F9FBC.pf 28.11.2007 08:47 14.618 SMAX4.EXE-2B732B8E.pf 28.11.2007 08:47 16.266 SMAX4PNP.EXE-2279C3AD.pf 28.11.2007 08:47 55.622 AVGNT.EXE-36CA4640.pf 28.11.2007 08:47 22.504 RUNDLL32.EXE-415F88EC.pf 28.11.2007 08:47 119.652 EXPLORER.EXE-082F38A9.pf 28.11.2007 08:47 22.494 USERINIT.EXE-30B18140.pf 27.11.2007 22:04 17.152 MBOOT.EXE-10CCAB90.pf 27.11.2007 22:03 38.484 MSIEXEC.EXE-2F8A8CAE.pf 27.11.2007 22:03 23.554 SETUP.EXE-00F611AC.pf 27.11.2007 22:03 19.040 MOVEONBD.EXE-39353327.pf 27.11.2007 22:00 23.682 HELPER.EXE-244ABC1F.pf 27.11.2007 22:00 59.890 UPDATER.EXE-09079682.pf 27.11.2007 19:50 7.756 NEROCHECK.EXE-1BD71082.pf 26.11.2007 21:40 19.626 RUNDLL32.EXE-140F9E5C.pf 26.11.2007 20:30 52.278 DFRGNTFS.EXE-269967DF.pf 26.11.2007 20:30 15.706 DEFRAG.EXE-273F131E.pf 26.11.2007 20:30 304.176 Layout.ini 26.11.2007 19:47 31.592 MSPAINT.EXE-11CBB631.pf 26.11.2007 19:36 6.952 WDFMGR.EXE-2CF4013B.pf 26.11.2007 17:04 48.944 SCANNINGPROCESS.EXE-16300C2E.pf 26.11.2007 17:04 16.958 MWAVL.EXE-398F8BA6.pf 26.11.2007 17:04 43.778 MEXE.COM-0522A409.pf 26.11.2007 17:03 75.500 MWAV.EXE-20AEC388.pf 26.11.2007 17:02 13.746 REG.EXE-0D2A95F7.pf 26.11.2007 17:02 5.176 MORE.COM-32DCB7E4.pf 26.11.2007 17:02 11.174 FINDSTR.EXE-0CA6274B.pf 26.11.2007 17:00 19.834 RUNDLL32.EXE-327ED30F.pf 26.11.2007 16:59 39.338 RUNDLL32.EXE-1831A4F3.pf 26.11.2007 16:59 58.632 WSCNTFY.EXE-1B24F5EB.pf 26.11.2007 16:59 17.476 RUNDLL32.EXE-2FAEF965.pf 26.11.2007 16:59 44.416 MSHTA.EXE-331DF029.pf 26.11.2007 16:59 19.536 RUNDLL32.EXE-1224CF94.pf 25.11.2007 22:09 33.762 WSCRIPT.EXE-32960AB9.pf 25.11.2007 22:09 35.772 IEXPLORE.EXE-2CA9778D.pf 25.11.2007 22:08 25.230 WORDPAD.EXE-1EFCC5C1.pf 25.11.2007 22:02 9.152 NIRCMD.EXE-2C39EF53.pf 25.11.2007 22:02 14.038 REGEDIT.EXE-1B606482.pf 25.11.2007 22:02 11.582 CATCHME.CFEXE-0F2A0789.pf 25.11.2007 22:02 19.866 DUMPHIVE.CFEXE-2ED3B134.pf 25.11.2007 22:01 23.230 CSCRIPT.EXE-1C26180C.pf 25.11.2007 22:00 9.786 CATCHME.EXE-334C4B6E.pf 25.11.2007 22:00 4.094 SED.CFEXE-268D7E58.pf 25.11.2007 22:00 10.672 SORT.EXE-194AE83C.pf 25.11.2007 22:00 20.510 REGT.CFEXE-15DB5DAE.pf 25.11.2007 22:00 11.768 NIRCMD.CFEXE-19FF4781.pf 25.11.2007 22:00 9.048 VFIND.CFEXE-2033727F.pf 25.11.2007 22:00 6.640 SWXCACLS.CFEXE-365F7973.pf 25.11.2007 22:00 4.666 NTRIGHTS.CFEXE-1874F6AB.pf 25.11.2007 22:00 3.926 GREP.CFEXE-20443039.pf 25.11.2007 22:00 4.144 MTEE.CFEXE-1E067BC7.pf 25.11.2007 22:00 12.510 SWREG.CFEXE-2BF4FFCD.pf 25.11.2007 21:57 14.146 RUNDLL32.EXE-3C808998.pf 25.11.2007 21:33 4.256 HANDLE.CFEXE-13427ED2.pf 25.11.2007 21:32 7.706 SWSC.CFEXE-3B4FE4FE.pf 25.11.2007 21:32 10.972 ATTRIB.EXE-39EAFB02.pf 25.11.2007 21:26 8.900 NIRCMD.EXE-1F7FED22.pf 25.11.2007 19:03 14.434 RUNDLL32.EXE-451FC2C0.pf 98 Datei(en) 3.477.842 Bytes 0 Verzeichnis(se), 23.215.329.280 Bytes frei ----- Windows -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3868-DD20 Verzeichnis von C:\WINDOWS 28.11.2007 11:20 0 0.log 28.11.2007 11:20 2.033.635 WindowsUpdate.log 28.11.2007 11:19 54.156 QTFont.qfn 28.11.2007 11:19 2.048 bootstat.dat 28.11.2007 09:24 50 Lic.xxx 28.11.2007 09:22 241.884 ntbtlog.txt 28.11.2007 09:20 32.544 SchedLgU.Txt 28.11.2007 09:17 50 wiaservc.log 28.11.2007 09:17 216 wiadebug.log 28.11.2007 08:48 69 NeroDigital.ini 17.11.2007 22:06 711.187 setupapi.log 08.11.2007 16:59 136.704 catchme.exe 28.10.2007 12:57 110.890 wmsetup.log 28.10.2007 12:57 316.640 WMSysPr9.prx ----- Tasks ---------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3868-DD20 Verzeichnis von C:\WINDOWS\tasks 28.11.2007 11:19 6 SA.DAT 16.11.2007 17:15 404 1-Klick-Wartung.job ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 3868-DD20 Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp 28.11.2007 11:25 115.605 filelist.txt 28.11.2007 11:24 1.028 jusched.log 28.11.2007 11:17 23.615.002 MWAV.LOG 28.11.2007 11:17 312.400 sfdb.dat 28.11.2007 11:07 2.279.066 MWAVC.LOG 26.11.2007 17:04 626.688 msvcr80.dll 26.11.2007 17:04 548.864 msvcp80.dll 26.11.2007 17:03 7.168 erootdrv.sys 26.11.2007 17:03 241.664 MYDB.DLL 25.11.2007 22:07 14.144 combofix.txt 23.11.2007 18:51 78 mwavclp.txt 23.11.2007 18:51 78 mwavrar.txt 23.11.2007 18:50 29.462 avp.klb 23.11.2007 18:50 35.323 ext009.avc 23.11.2007 18:50 37.175 fa.avc 23.11.2007 18:50 553 daily-ex.avc 23.11.2007 18:50 46.524 daily.avc 23.11.2007 18:50 28.254 base159.avc 23.11.2007 18:50 50.198 base154.avc 23.11.2007 18:50 49.655 base153.avc 23.11.2007 18:50 50.278 base127.avc 23.11.2007 18:50 1.013 daily-ec.avc 23.11.2007 18:50 22.047 ext006c.avc 23.11.2007 18:50 5.386 dailyc.avc 23.11.2007 18:50 24.514 base066c.avc 23.11.2007 18:50 50.010 base065c.avc 23.11.2007 18:50 50.233 base064c.avc 23.11.2007 18:50 17.407 fa001.avc 23.11.2007 17:13 467.520 mexe.com 23.11.2007 17:13 467.520 MWAVSCAN.COM 23.11.2007 13:48 51.759 Czech.Age 23.11.2007 13:48 50.946 Tamil.age 23.11.2007 13:48 91.771 Chinese.Age 23.11.2007 13:48 110.675 Icelandic.Age 23.11.2007 13:48 115.585 Polish.Age 23.11.2007 13:48 112.443 Finnish.Age 23.11.2007 13:48 116.740 French.Age 23.11.2007 13:48 115.630 Spanish.Age 23.11.2007 13:48 116.354 Spanishl.Age 23.11.2007 13:48 111.385 Romanian.Age 23.11.2007 13:48 123.926 Portuguese.Age 23.11.2007 13:48 122.996 Italian.Age 23.11.2007 13:48 125.772 language.ini 23.11.2007 13:48 125.772 German.Age 23.11.2007 12:29 61.952 reload.exe 22.11.2007 12:52 37.680 unp020.avc 22.11.2007 12:08 312.870 phupdn.txt 22.11.2007 11:52 18.427 global.daz 22.11.2007 11:52 88.788 phupdn.txz 22.11.2007 10:58 2.099.379 File1.sdb 22.11.2007 10:58 774.617 Dir.sdb 22.11.2007 10:58 1.281.868 Cid.sdb 22.11.2007 10:58 1.429.043 File2.sdb 22.11.2007 10:58 264.031 spydb.avs 22.11.2007 10:58 162.802 Spyware.sdb 22.11.2007 10:58 264.031 spydb.old 21.11.2007 23:08 5.515 Czech.dow 21.11.2007 23:08 5.437 Tamil.dow 21.11.2007 23:08 4.474 Chinese.dow 21.11.2007 23:07 5.575 Icelandic.dow 21.11.2007 23:07 5.844 Finnish.dow 21.11.2007 23:07 6.476 Polish.dow 21.11.2007 23:07 6.354 French.dow 21.11.2007 23:07 6.006 Spanish.dow 21.11.2007 23:07 6.373 Spanishl.dow 21.11.2007 23:07 5.908 Romanian.dow 21.11.2007 23:07 6.297 Portuguese.dow 21.11.2007 23:07 5.930 Italian.dow 21.11.2007 23:07 6.061 Download.lan 21.11.2007 23:07 6.061 German.dow 21.11.2007 22:46 49.291 base025.avc 21.11.2007 22:46 50.515 ext005c.avc 21.11.2007 22:46 50.101 base062c.avc 21.11.2007 22:46 50.193 base063c.avc 21.11.2007 22:46 50.135 base061c.avc 21.11.2007 16:06 188.416 download.exe 21.11.2007 13:42 5.539 English.dow 20.11.2007 21:24 50.311 base158.avc 20.11.2007 21:24 50.300 base157.avc 20.11.2007 15:59 52.107 English.Age 20.11.2007 15:42 173.568 esupdate.exe 20.11.2007 15:26 39.936 unregx.exe 20.11.2007 14:16 1.974.272 msvl64.dll 20.11.2007 14:09 44.032 setpriv.exe 20.11.2007 14:03 155.648 msvlclnt.dll 20.11.2007 13:56 48.704 Getvlist.exe 20.11.2007 13:35 429.568 MWAVReg.EXE 20.11.2007 10:45 76.437 unp002.avc 20.11.2007 10:45 49.144 base030.avc 19.11.2007 19:37 13.670 French.con 19.11.2007 13:04 4.110 avp.set 19.11.2007 13:04 4.110 avp_ext.set 19.11.2007 13:04 4.110 avp_x.set 19.11.2007 13:04 41.175 unp022.avc 19.11.2007 13:04 57.842 unp015.avc 19.11.2007 13:04 50.428 base148.avc 19.11.2007 13:04 56.293 unp014.avc 19.11.2007 13:04 49.913 base129.avc 19.11.2007 13:04 51.036 base146.avc 19.11.2007 13:04 47.772 base003.avc 19.11.2007 13:04 50.561 base013c.avc 19.11.2007 13:04 50.682 base005c.avc 19.11.2007 12:32 1.333 esupd.ini 17.11.2007 16:51 11.731 Czech.con 17.11.2007 16:51 11.444 Tamil.con 17.11.2007 16:51 9.295 Chinese.con 17.11.2007 16:51 12.420 Icelandic.con 17.11.2007 16:51 12.293 Finnish.con 17.11.2007 16:51 13.471 Polish.con 17.11.2007 16:51 12.609 Spanish.con 17.11.2007 16:51 13.091 Spanishl.con 17.11.2007 16:50 12.259 Romanian.con 17.11.2007 16:50 13.277 Portuguese.con 17.11.2007 16:50 12.298 Italian.con 17.11.2007 16:50 15.837 config.lan 17.11.2007 16:50 15.837 German.con 17.11.2007 14:30 49.841 base083.avc 17.11.2007 13:46 50.501 base065.avc 17.11.2007 11:29 49.568 base130.avc 16.11.2007 17:34 11.769 English.con 16.11.2007 16:47 49.801 base042.avc 16.11.2007 12:05 41.038 base092.avc 15.11.2007 14:43 34.250 unp039.avc 14.11.2007 18:43 9.598 german.lan 14.11.2007 17:21 11.721 English.lan 13.11.2007 17:03 156.854 krnmacro.avc 13.11.2007 11:46 46.316 unp036.avc 13.11.2007 11:46 51.053 base029.avc 13.11.2007 11:46 49.951 base094.avc 12.11.2007 11:50 48.293 unp037.avc 12.11.2007 11:50 42.517 unp032.avc 12.11.2007 11:50 48.011 base038c.avc 12.11.2007 11:50 50.107 base037c.avc 12.11.2007 11:50 50.768 base034c.avc 12.11.2007 11:50 50.166 base036c.avc 08.11.2007 16:43 407.552 viewtcp.exe 08.11.2007 13:05 48.852 unp034.avc 08.11.2007 13:05 65.980 unp035.avc 08.11.2007 13:05 50.423 base150.avc 08.11.2007 13:05 49.270 base050.avc 08.11.2007 13:05 48.907 base004.avc 07.11.2007 17:25 98.304 MWAVL.exe 03.11.2007 16:55 50.131 base056.avc 02.11.2007 15:22 50.316 base155.avc 02.11.2007 12:30 49.936 unp027.avc 02.11.2007 12:30 50.099 base156.avc 02.11.2007 12:30 49.593 base060c.avc 02.11.2007 12:30 43.455 krnengn.avc 01.11.2007 12:35 55.610 base144.avc 31.10.2007 21:12 50.018 base088.avc 30.10.2007 14:18 120.392 krnunp.avc 29.10.2007 10:33 64.818 unp016.avc 29.10.2007 10:33 75.678 unp007.avc 27.10.2007 20:58 27.023 gen005.avc 27.10.2007 20:58 36.190 gen004.avc 27.10.2007 20:58 51.288 unp005.avc 27.10.2007 20:58 49.867 base072.avc 26.10.2007 11:17 47.980 base002.avc 26.10.2007 11:17 50.073 base059c.avc 26.10.2007 11:17 50.368 base058c.avc 26.10.2007 11:17 50.489 base057c.avc 26.10.2007 11:17 49.385 base056c.avc 26.10.2007 11:17 50.158 base055c.avc 26.10.2007 11:17 49.874 base054c.avc |
28.11.2007, 11:37 | #22 |
| Trojaner TR/Injekt.KQ.1 kann nicht gelöscht werden. und hier ein frischer Highjacklog: Logfile of HijackThis v1.99.1 Scan saved at 11:35:40, on 28.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.5.0_09\bin\jusched.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\Tech\Office Program Selector\2.0\ACROMAPP.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Gemeinsame Dateien\NMSAccessU.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\***\Desktop\hijackthis\This.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {162C6BC2-E852-4D45-B139-E8A6737F1054} - C:\WINDOWS\system32\cbxwuvt.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: (no name) - {EAE1CC4C-A42C-4BEF-9F2D-ABED61D6FE0E} - C:\WINDOWS\system32\qdv32.dll (file missing) O2 - BHO: (no name) - {F68EC349-0E41-44BC-A0C3-2CA204C13626} - C:\WINDOWS\system32\jkhhh.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ACROMOUSE] C:\Programme\Tech\Office Program Selector\2.0\ACROMAPP.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/ O17 - HKLM\System\CCS\Services\Tcpip\..\{2ED695AD-D37A-4B6A-99B3-BB27496D3A47}: NameServer = 89.246.64.8 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\Gemeinsame Dateien\NMSAccessU.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe |
28.11.2007, 20:05 | #23 | ||
| Trojaner TR/Injekt.KQ.1 kann nicht gelöscht werden. Hallo lass bitte nochmal diese Dateien : Zitat:
Starte HijackThis und fixe diese Einträge : Zitat:
Code:
ATTFilter Files to delete: C:\WINDOWS\system32\hhhkj.ini C:\WINDOWS\system32\jkhhh.dll MFG |
28.11.2007, 21:31 | #24 |
| Trojaner TR/Injekt.KQ.1 kann nicht gelöscht werden. Hallo, die beiden Dateien sind laut Virustotal keine Viren o.ä. Was genau meinst du mit "fixe diese Einträge mit Highjackthis"? Wenn ich bei Avenger den von Dir angegeben Befehl ausführe zeigt er mir nach dem rebooten dieses Log: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\bfsibnuh ******************* Script file located at: mpjhfuqs Could not open script file! Error Could not open script file! Status: 0xc000003b Abort! MFG |
28.11.2007, 21:51 | #25 |
| Trojaner TR/Injekt.KQ.1 kann nicht gelöscht werden. Habe das mit Avenger noch einmal probiert und siehe da: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\bhpvngtm ******************* Script file located at: \??\C:\Program Files\mcevaihl.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\hhhkj.ini deleted successfully. File C:\WINDOWS\system32\jkhhh.dll deleted successfully. Completed script processing. ******************* Finished! Terminate. MFG |
29.11.2007, 06:15 | #26 | |
| Trojaner TR/Injekt.KQ.1 kann nicht gelöscht werden. Hallo Zitat:
Dann Antivir updaten sowie die Systemwiederherstellung deaktivieren und im abgesicherten Modus (beim start F8 drücken) einen Fullscan durchführen. Zurück im normalen Modus kann die Systemwiederherstellung wieder aktiviert werden wenn gewünscht. MFG |
29.11.2007, 08:23 | #27 |
| Trojaner TR/Injekt.KQ.1 kann nicht gelöscht werden. Guten Morgen, gut soweit habe ich es verstanden. Soll ich den Fullscan mit escan oder als Highjackthis durchführen? MFG |
29.11.2007, 17:50 | #28 | |
| Trojaner TR/Injekt.KQ.1 kann nicht gelöscht werden. Hallo Zitat:
MFG |
29.11.2007, 20:14 | #29 |
| Trojaner TR/Injekt.KQ.1 kann nicht gelöscht werden. Also AntiVir hat nur einen Virus beim Fullscan gefunden und das ist der gleiche wie vorher...Allerdings wurde der bei Avenger im Ordner Backup gefunden... Ansonsten nichts entdeckt... MFG |
29.11.2007, 22:11 | #30 |
| Trojaner TR/Injekt.KQ.1 kann nicht gelöscht werden. Hallo Den Backupordner kannst du löschen den brauchen wir zur Zeit nicht mehr. Wenn du keine Probleme mehr hast, denke ich sind wir durch. MFG |
Themen zu Trojaner TR/Injekt.KQ.1 kann nicht gelöscht werden. |
abgesicherten modus, anti, antivir, betriebssystem, datei, diverse, fehlermeldung, folge, freeware, gelöscht, google, home, ignorieren, kann nicht gelöscht werden, löschen, lösung, meldung, microsoft, problem, programm, programme, prozess, quara, trojaner, viren, windows xp, xp home, zugriff |