| |
| |||||||
Log-Analyse und Auswertung: Trojaner BAT/Fake.Privdanger nicht wegzubekommenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
04.03.2008, 17:28
| #1 |
 |  Trojaner BAT/Fake.Privdanger nicht wegzubekommen Hallo zusammen, ich habe ein Problem mit meinem PC und hoffe, hier kann mir vielleicht jemand helfen. Ich habe den hier im Forum schon mehrfach angesprochenen Trojaner BAT/Fake.Privdanger auf meinem PC und weiß nicht, wie ich den wegbekommen kann. Ich habe mir die bisherigen Foreneinträge durchgelesen und versucht die dortigen Anweisungen zu befolgen. Ich habe das Ding mit Antivir gelöscht und habe auch dieses siri.smitfraud-Programm benutzt. Beim nächsten Starten des PC´s war der Virus allerdings immer noch da. Der Bildschirm wurde wieder weiß und es kamen wieder Meldungen von wegen "Security Alert" und dass ich mir unbedingt irgendwelche Spyware-Programme runterladen soll. Dieses Meldungen sind offensichtlich typisch für diesen Virus. Ich weiß nicht wie er auf den PC gekommen ist, aber der Computer war ziemlich lang an und auch online und als ich wieder den Bildschrim angemacht habe, waren auf einmal 49 Internet-Explorer Fenster geöffnet, alle mit diesen Meldungen. Ich habe nun mal Highjackthis benutzt und stelle hier den Logfile rein. Leider kann ich mit dem nicht viel anfangen, da ich wirklich kein großer Experte bin. Ich hoffe, es kann mir evtl. jemand helfen und mir sagen, was ich noch löschen muss oder Ähnliches. Vielen Dank im Voraus. Gruß MV So, nun hier der letzte Logfile: Logfile of HijackThis v1.99.1 Scan saved at 17:38:23, on 04.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\DOKUME~1\MatVogl\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Advertiser Class - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINDOWS\System32\Winad2.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar.dll O3 - Toolbar: ekvgsnw - {C8241E4D-67AB-4AFB-AA37-A65D5930E1EE} - C:\WINDOWS\ekvgsnw.dll O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [WindowEnhancer] "C:\Programme\winex\v2\winex.EXE" /U O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\googletoolbar.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\googletoolbar.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\googletoolbar.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\googletoolbar.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://C:\Programme\Google\googletoolbar.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU) O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} - http://webinstall.tscash.com/webinstall.cab O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - http://erotik.x-tonne.de/kerstin/webinstall.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab O18 - Protocol: haufereader - (no CLSID) - (no file) O21 - SSODL: bxlrvps - {73FF8CD5-4A6A-4B8F-9C1E-F5778528A8E6} - C:\WINDOWS\bxlrvps.dll O21 - SSODL: alofkmn - {1AA2B7FC-4278-4635-9BBC-B8428F185A35} - C:\WINDOWS\alofkmn.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe |
|
04.03.2008, 18:04
| #2 |
  | Trojaner BAT/Fake.Privdanger nicht wegzubekommen Hallo
__________________mach bitte zuerst alle versteckten Dateien und Ordner sichtbar. Dann deinstalliere über Start -> Einstellungen -> Systemsteuerung -> Software das Programm Save oder WhenU(Save) o.ä. Deaktiviere die bitte Systemwiederherstellung und führe einen Neustart durch. Lade dir ClearProg und lasse es dein System bereinigen (hake an --> alles löschen) und lass alles löschen. Deaktiviere bitte den Hintergrundwächter deines Antivirenprogrammes. Dann lade dir bitte Combofix runter ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen -Während des Durchlaufs bitte alle Programme geschlossen halten und nichts am Rechner machen -Der Scan kann etwas dauern und evtl. wird dein Rechner neu starten -kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! Erstelle auch ein frisches HijackThis Log, benenne aber vorher die Hijackthis.exe um in z.B. ABC.exe. MFG |
|
05.03.2008, 10:30
| #3 |
| | Trojaner BAT/Fake.Privdanger nicht wegzubekommen Hallo,
__________________vielen lieben Dank zunächst mal für die Anweisungen. Ich habe versucht diese zu befolgen. Es hat auch soweit geklappt (versteckte Dateien und Ordner, Systemwiederherstellung, Clearprog, Combofix), allerdings konnte ich das Programm Save oder WhenU(Save) o.ä. nicht am angegebenen Ort finden und habe es, falls es denn doch da war, somit auch nicht deaktiviert. Ich muss zunächst sagen: mein Bildschirm ist noch weiß und als Startseite habe ich immer noch so einen Spyware download, glaube aber, dass muss nicht unbedingt was heißen, denn den letzten Minuten kommen zumindest keine Meldungen mehr. Ich habe nun hier den Text von Combofix: ComboFix 08-03-04.5 - MatVogl 2008-03-05 10:36:41.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.53 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\MatVogl\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OPQRSTUV\ComboFix[1].exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\MatVogl\Desktop\Error Cleaner.url C:\Dokumente und Einstellungen\MatVogl\Desktop\Privacy Protector.url C:\Dokumente und Einstellungen\MatVogl\Desktop\Spyware&Malware Protection.url C:\Dokumente und Einstellungen\MatVogl\Favoriten\Error Cleaner.url C:\Dokumente und Einstellungen\MatVogl\Favoriten\Privacy Protector.url C:\Dokumente und Einstellungen\MatVogl\Favoriten\Spyware&Malware Protection.url C:\Programme\delfin C:\WINDOWS\alofkmn.dll C:\WINDOWS\bxlrvps.dll C:\WINDOWS\ekvgsnw.dll C:\WINDOWS\NDNuninstall4_94.exe C:\WINDOWS\NDNuninstall5_64.exe C:\WINDOWS\privacy_danger C:\WINDOWS\privacy_danger\images\capt.gif C:\WINDOWS\privacy_danger\images\danger.jpg C:\WINDOWS\privacy_danger\images\down.gif C:\WINDOWS\privacy_danger\images\spacer.gif C:\WINDOWS\privacy_danger\index.htm C:\WINDOWS\system32\uninstall.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-02-05 bis 2008-03-05 )))))))))))))))))))))))))))))) . 2008-02-29 15:39 . 2008-02-29 15:44 3,364 --a------ C:\WINDOWS\system32\tmp.reg 2008-02-29 15:37 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-02-29 15:37 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-02-29 15:37 . 2008-02-28 11:37 86,016 --a------ C:\WINDOWS\system32\VACFix.exe 2008-02-29 15:37 . 2008-02-08 10:37 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-02-29 15:37 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-02-29 15:37 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-02-29 15:37 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2006-06-21 13:34 80,048 ----a-w C:\Dokumente und Einstellungen\MatVogl\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2003-11-02 10:18 75,048 ----a-w C:\Dokumente und Einstellungen\DietVogl\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2003-02-03 20:47 1,475,882 ----a-w C:\Programme\einsatzfahrt.exe 2003-01-26 15:16 2,671,104 ----a-w C:\Programme\EasyDivX_082_lite.exe 2002-12-21 21:56 3,269,351 ----a-w C:\Programme\winamp3_0-full.exe 2002-12-12 09:31 921,031 ----a-w C:\Programme\wrar300d.exe 2002-12-02 11:18 2,576,808 ----a-w C:\Programme\deaim47.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53D3C442-8FEE-4784-9A21-6297D39613F0}] C:\WINDOWS\System32\Winad2.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "sp"="C:\WINDOWS\sp.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [2002-02-04 21:32 53248] "SoundMan"="SOUNDMAN.EXE" [2002-08-15 11:46 46592 C:\WINDOWS\SOUNDMAN.EXE] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 16:34 249896] "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 15:07 49263] "WindowEnhancer"="C:\Programme\winex\v2\winex.exe" [ ] "WhenUSave"="C:\PROGRA~1\Save\Save.exe" [ ] "SysUpd"="C:\WINDOWS\System32\SysUpd.exe" [ ] "PrinTray"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe" [2001-10-12 13:25 34816] "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 18:43 28672] "MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 00:58 160768] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] Source= file:///C:\WINDOWS\privacy_danger\index.htm FriendlyName= Privacy Protection [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Notification Packages REG_MULTI_SZ scecli scecli scecli [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Office-Start.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Office-Start.lnk backup=C:\WINDOWS\pss\Office-Start.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Timex Data Link USB Launcher.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Timex Data Link USB Launcher.lnk backup=C:\WINDOWS\pss\Timex Data Link USB Launcher.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Agent] --a------ 2002-09-26 15:49 69632 C:\Programme\Medion\PowerCinema\My_TV\Agent.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AIM] --a------ 2002-11-14 01:50 61440 C:\Programme\AIM95\aim.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CapFax] --a------ 2001-12-10 16:34 20739 C:\Programme\Classic PhoneTools\CapFax.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL] --a------ 2002-11-02 07:33 45056 C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray] --a------ 2002-11-04 17:57 73728 C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DInfoSetup] --a------ 2000-06-26 00:00 134656 C:\Programme\D-Info2000 Kompakt\SDinfo.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DiskeeperSystray] --a------ 2004-12-21 23:29 180312 C:\Programme\Executive Software\Diskeeper\DkIcon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit] --a------ 2002-08-28 12:43 73728 C:\WINDOWS\Dit.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DownloadWare] C:\Programme\DownloadWare\dw.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaLoads Installer] C:\Programme\DownloadWare\dw.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\New.net Startup] C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIEW] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2002-12-02 13:02 77824 C:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealPlayer] --a------ 2006-05-28 19:45 1003520 C:\Programme\Real\RealPlayer\realplay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray] --a------ 2006-05-28 19:45 1003520 C:\Programme\Real\RealPlayer\RealPlay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] --a------ 2006-10-13 17:20 20058152 C:\Programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpeedTouch USB Diagnostics] --a------ 2002-05-03 10:40 4341760 C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2004-05-13 22:32 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\websearch] wjview /cp  C:\Programme\websearch\System\Code Main lp: C:\Programme\websearch[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a------ 2002-07-23 17:58 12288 C:\Programme\Winamp3\winampa.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\\Programme\\Internet Explorer\\iexplore.exe"= R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-15 19:46] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-15 19:46] R1 SLEE_13_DRIVER;Steganos Live Encryption Engine 13 [Driver];C:\WINDOWS\system32\drivers\SLEE13.sys [2005-10-04 16:42] R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2006-10-04 21:36] R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 12:13] R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 13:14] R3 fxpcbase;AVM ISDN-Connector FRITZ!X PC v2.0/v3.0 (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fxpcbase.sys [2001-11-29 01:00] R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\system32\DRIVERS\ctxs51.sys [2002-07-01 15:10] R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 13:15] S3 atirage;atirage;C:\WINDOWS\system32\DRIVERS\atiragem.sys [2001-08-18 03:19] S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" [2006-10-23 03:39] S3 IIUSBISP;USB Mass Storage for USB ISP;C:\WINDOWS\system32\Drivers\iiusbisp.sys [] S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 09:14] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-05 10:43:13 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Executive Software\Diskeeper\DkService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\wanmpsvc.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-03-05 10:45:43 - machine was rebooted ComboFix-quarantined-files.txt 2008-03-05 09:45:38 Und hier ist noch das neue Lofgfile von Highjackthis bzw. jetzt ABC.exe: Logfile of HijackThis v1.99.1 Scan saved at 10:58:12, on 05.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Executive Software\Diskeeper\DkService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\MatVogl\Desktop\ABC.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Advertiser Class - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINDOWS\System32\Winad2.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar.dll O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [WindowEnhancer] "C:\Programme\winex\v2\winex.EXE" /U O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\googletoolbar.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\googletoolbar.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\googletoolbar.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\googletoolbar.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://C:\Programme\Google\googletoolbar.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU) O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} - http://webinstall.tscash.com/webinstall.cab O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - http://erotik.x-tonne.de/kerstin/webinstall.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab O18 - Protocol: haufereader - (no CLSID) - (no file) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe So, das wäre das. Da ich da natürlich wieder nicht so ganz durchblicke, wäre es sehr nett, wenn Du/Ihr mir schreiben könntet, ob sich nun was verändert hat, der Trojaner vielleicht weg ist bzw. was ich evtl. noch machen muss. Vielen Dank im Voraus. MFG MV |
|
05.03.2008, 18:10
| #4 |
| | Trojaner BAT/Fake.Privdanger nicht wegzubekommen Hallo es ist/bleibt noch einiges zu tun. Arbeite mal diese Anleitung ab lalalalalalala  http://www.trojaner-board.de/51187-a...i-malware.html und poste anschließend das Log, wollen wir mal schauen was SUPERAntiSpyware alles wegräumt genug zu tun gibt es ja noch  .Lass hinterher bitte auch nochmal Combofix laufen und poste ebenfalls das Log. MFG Geändert von nochdigger (05.03.2008 um 18:27 Uhr) Grund: büschen durcheinander |
|
05.03.2008, 22:34
| #5 |
| | Trojaner BAT/Fake.Privdanger nicht wegzubekommen Hallo, ich habe nun SUPERAntiSpyware drüberlaufen lassen und auch Combofix noch einmal. SASW hat 27 detected files gefunden, die nun in Quarantine sind. Sonstiges: Bildschirmhintergrund ist noch immer weiß, keine weiteren Spyware-Meldungen, nach jedem Neustart startet automatisch das Systemkonfigurationsprogramm. Hier sind die beiden Logfiles: 1. SASW: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 03/05/2008 at 10:23 PM Application Version : 4.0.1154 Core Rules Database Version : 3414 Trace Rules Database Version: 1406 Scan type : Complete Scan Total Scan Time : 00:46:51 Memory items scanned : 385 Memory threats detected : 0 Registry items scanned : 5406 Registry threats detected : 17 File items scanned : 60487 File threats detected : 10 Adware.WinAd HKLM\Software\Classes\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0} HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0} HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0} HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0}#AppID HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0}\Implemented Categories HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4} HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4} HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0}\InprocServer32 HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0}\InprocServer32#ThreadingModel HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0}\ProgID HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0}\Programmable HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0}\TypeLib HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0}\VersionIndependentProgID C:\WINDOWS\SYSTEM32\WINAD2.DLL HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53D3C442-8FEE-4784-9A21-6297D39613F0} Adware.WhenU C:\Programme\Save\ReadMe.txt C:\Programme\Save Trojan.NewDotNet HKU\.DEFAULT\Software\New.net HKU\S-1-5-18\Software\New.net C:\QOOBOX\QUARANTINE\C\WINDOWS\NDNUNINSTALL4_94.EXE.VIR C:\QOOBOX\QUARANTINE\C\WINDOWS\NDNUNINSTALL5_64.EXE.VIR Browser Hijacker.Internet Explorer Settings Hijack HKU\S-1-5-21-3088433937-2885428501-3134616843-1007\Software\Microsoft\Internet Explorer\Main#Start Page [ http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 ] Trojan.Unclassified/EGO C:\QOOBOX\QUARANTINE\C\WINDOWS\EKVGSNW.DLL.VIR Desktop Hijacker.AboutYourPrivacy C:\QOOBOX\QUARANTINE\C\WINDOWS\PRIVACY_DANGER\IMAGES\CAPT.GIF.VIR C:\QOOBOX\QUARANTINE\C\WINDOWS\PRIVACY_DANGER\IMAGES\DANGER.JPG.VIR C:\QOOBOX\QUARANTINE\C\WINDOWS\PRIVACY_DANGER\IMAGES\DOWN.GIF.VIR Adware.Jraun/WinEssential D:\SYSTEM VOLUME INFORMATION\_RESTORE{530CE4CC-7AA4-472B-AB0A-C4A85E7EDA34}\RP25\A0003090.EXE 2. Combofix: ComboFix 08-03-05.1 - MatVogl 2008-03-05 22:45:23.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.60 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\MatVogl\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EUB9WZXT\ComboFix[1].exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((( Dateien erstellt von 2008-02-05 bis 2008-03-05 )))))))))))))))))))))))))))))) . 2008-03-05 21:30 . 2008-03-05 21:30 <DIR> d-------- C:\Programme\SUPERAntiSpyware 2008-03-05 21:30 . 2008-03-05 21:30 <DIR> d-------- C:\Dokumente und Einstellungen\MatVogl\Anwendungsdaten\SUPERAntiSpyware.com 2008-03-05 21:30 . 2008-03-05 21:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2008-03-05 21:29 . 2008-03-05 21:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-02-29 15:39 . 2008-02-29 15:44 3,364 --a------ C:\WINDOWS\system32\tmp.reg 2008-02-29 15:37 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-02-29 15:37 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-02-29 15:37 . 2008-02-28 11:37 86,016 --a------ C:\WINDOWS\system32\VACFix.exe 2008-02-29 15:37 . 2008-02-08 10:37 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-02-29 15:37 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-02-29 15:37 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-02-29 15:37 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2006-06-21 13:34 80,048 ----a-w C:\Dokumente und Einstellungen\MatVogl\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2003-11-02 10:18 75,048 ----a-w C:\Dokumente und Einstellungen\DietVogl\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2003-02-03 20:47 1,475,882 ----a-w C:\Programme\einsatzfahrt.exe 2003-01-26 15:16 2,671,104 ----a-w C:\Programme\EasyDivX_082_lite.exe 2002-12-21 21:56 3,269,351 ----a-w C:\Programme\winamp3_0-full.exe 2002-12-12 09:31 921,031 ----a-w C:\Programme\wrar300d.exe 2002-12-02 11:18 2,576,808 ----a-w C:\Programme\deaim47.exe . ((((((((((((((((((((((((((((( snapshot@2008-03-05_10.45.23.90 ))))))))))))))))))))))))))))))))))))))))) . + 2008-03-05 20:30:45 34,304 ----a-r C:\WINDOWS\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF1.exe + 2008-03-05 21:51:03 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_480.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "sp"="C:\WINDOWS\sp.exe" [ ] "SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-02-29 16:03 1481968] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [2002-02-04 21:32 53248] "SoundMan"="SOUNDMAN.EXE" [2002-08-15 11:46 46592 C:\WINDOWS\SOUNDMAN.EXE] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 16:34 249896] "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 15:07 49263] "WindowEnhancer"="C:\Programme\winex\v2\winex.exe" [ ] "WhenUSave"="C:\PROGRA~1\Save\Save.exe" [ ] "SysUpd"="C:\WINDOWS\System32\SysUpd.exe" [ ] "PrinTray"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe" [2001-10-12 13:25 34816] "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 18:43 28672] "MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 00:58 160768] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] Source= file:///C:\WINDOWS\privacy_danger\index.htm FriendlyName= Privacy Protection [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Notification Packages REG_MULTI_SZ scecli scecli scecli [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Office-Start.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Office-Start.lnk backup=C:\WINDOWS\pss\Office-Start.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Timex Data Link USB Launcher.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Timex Data Link USB Launcher.lnk backup=C:\WINDOWS\pss\Timex Data Link USB Launcher.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Agent] --a------ 2002-09-26 15:49 69632 C:\Programme\Medion\PowerCinema\My_TV\Agent.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AIM] --a------ 2002-11-14 01:50 61440 C:\Programme\AIM95\aim.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CapFax] --a------ 2001-12-10 16:34 20739 C:\Programme\Classic PhoneTools\CapFax.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL] --a------ 2002-11-02 07:33 45056 C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray] --a------ 2002-11-04 17:57 73728 C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DInfoSetup] --a------ 2000-06-26 00:00 134656 C:\Programme\D-Info2000 Kompakt\SDinfo.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DiskeeperSystray] --a------ 2004-12-21 23:29 180312 C:\Programme\Executive Software\Diskeeper\DkIcon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit] --a------ 2002-08-28 12:43 73728 C:\WINDOWS\Dit.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DownloadWare] C:\Programme\DownloadWare\dw.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaLoads Installer] C:\Programme\DownloadWare\dw.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\New.net Startup] C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIEW] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2002-12-02 13:02 77824 C:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealPlayer] --a------ 2006-05-28 19:45 1003520 C:\Programme\Real\RealPlayer\realplay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray] --a------ 2006-05-28 19:45 1003520 C:\Programme\Real\RealPlayer\RealPlay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] --a------ 2006-10-13 17:20 20058152 C:\Programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpeedTouch USB Diagnostics] --a------ 2002-05-03 10:40 4341760 C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2004-05-13 22:32 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\websearch] wjview /cp C:\Programme\websearch\System\Code Main lp: C:\Programme\websearch[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a------ 2002-07-23 17:58 12288 C:\Programme\Winamp3\winampa.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\\Programme\\Internet Explorer\\iexplore.exe"= R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-15 19:46] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-15 19:46] R1 SLEE_13_DRIVER;Steganos Live Encryption Engine 13 [Driver];C:\WINDOWS\system32\drivers\SLEE13.sys [2005-10-04 16:42] R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2006-10-04 21:36] R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 12:13] R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 13:14] R3 fxpcbase;AVM ISDN-Connector FRITZ!X PC v2.0/v3.0 (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fxpcbase.sys [2001-11-29 01:00] R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\system32\DRIVERS\ctxs51.sys [2002-07-01 15:10] R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 13:15] S3 atirage;atirage;C:\WINDOWS\system32\DRIVERS\atiragem.sys [2001-08-18 03:19] S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" [2006-10-23 03:39] S3 IIUSBISP;USB Mass Storage for USB ISP;C:\WINDOWS\system32\Drivers\iiusbisp.sys [] S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 09:14] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-05 22:52:17 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Executive Software\Diskeeper\DkService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\WINDOWS\System32\imapi.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-03-05 22:56:56 - machine was rebooted ComboFix-quarantined-files.txt 2008-03-05 21:56:51 ComboFix2.txt 2008-03-05 09:45:44 Wäre für eine erneute Antwort sehr dankbar. Ist wahrscheinlich immer noch einiges zu tun. MFG MV |
|
06.03.2008, 06:11
| #6 | |
| | Trojaner BAT/Fake.Privdanger nicht wegzubekommen Moin lade dir bitte Smitfraudfix Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix -Starte deinen Rechner in den abgesicherten Modus (beim start F8 drücken) -Starte Smitfraudfix und lass das System Bereinigen. (Option 2)  -Starte dein System neu in den normalen Modus -Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans Leere bitte diesen Ordner Zitat:
Danach sehen wir weiter. MFG |
|
| Themen zu Trojaner BAT/Fake.Privdanger nicht wegzubekommen |
| antivir, auf einmal, avg, avgnt, avgnt.exe, avira, bho, bildschirm, computer, ctfmon.exe, drivers, google, highjackthis, hijack, hijackthis, internet explorer, jusched.exe, logfile, problem, registry, security, software, starten, symantec, system, t-online, trojaner, vielen dank, virus, windows, windows xp, wlan, wmid |
Hybrid-Darstellung
