| |
| |||||||
Log-Analyse und Auswertung: Trojaner BAT/Fake.Privdanger nicht wegzubekommenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
04.03.2008, 17:28
| #1 |
 |  Trojaner BAT/Fake.Privdanger nicht wegzubekommen Hallo zusammen, ich habe ein Problem mit meinem PC und hoffe, hier kann mir vielleicht jemand helfen. Ich habe den hier im Forum schon mehrfach angesprochenen Trojaner BAT/Fake.Privdanger auf meinem PC und weiß nicht, wie ich den wegbekommen kann. Ich habe mir die bisherigen Foreneinträge durchgelesen und versucht die dortigen Anweisungen zu befolgen. Ich habe das Ding mit Antivir gelöscht und habe auch dieses siri.smitfraud-Programm benutzt. Beim nächsten Starten des PC´s war der Virus allerdings immer noch da. Der Bildschirm wurde wieder weiß und es kamen wieder Meldungen von wegen "Security Alert" und dass ich mir unbedingt irgendwelche Spyware-Programme runterladen soll. Dieses Meldungen sind offensichtlich typisch für diesen Virus. Ich weiß nicht wie er auf den PC gekommen ist, aber der Computer war ziemlich lang an und auch online und als ich wieder den Bildschrim angemacht habe, waren auf einmal 49 Internet-Explorer Fenster geöffnet, alle mit diesen Meldungen. Ich habe nun mal Highjackthis benutzt und stelle hier den Logfile rein. Leider kann ich mit dem nicht viel anfangen, da ich wirklich kein großer Experte bin. Ich hoffe, es kann mir evtl. jemand helfen und mir sagen, was ich noch löschen muss oder Ähnliches. Vielen Dank im Voraus. Gruß MV So, nun hier der letzte Logfile: Logfile of HijackThis v1.99.1 Scan saved at 17:38:23, on 04.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\DOKUME~1\MatVogl\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Advertiser Class - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINDOWS\System32\Winad2.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar.dll O3 - Toolbar: ekvgsnw - {C8241E4D-67AB-4AFB-AA37-A65D5930E1EE} - C:\WINDOWS\ekvgsnw.dll O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [WindowEnhancer] "C:\Programme\winex\v2\winex.EXE" /U O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\googletoolbar.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\googletoolbar.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\googletoolbar.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\googletoolbar.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://C:\Programme\Google\googletoolbar.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU) O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} - http://webinstall.tscash.com/webinstall.cab O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - http://erotik.x-tonne.de/kerstin/webinstall.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab O18 - Protocol: haufereader - (no CLSID) - (no file) O21 - SSODL: bxlrvps - {73FF8CD5-4A6A-4B8F-9C1E-F5778528A8E6} - C:\WINDOWS\bxlrvps.dll O21 - SSODL: alofkmn - {1AA2B7FC-4278-4635-9BBC-B8428F185A35} - C:\WINDOWS\alofkmn.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe |
|
04.03.2008, 18:04
| #2 |
  | Trojaner BAT/Fake.Privdanger nicht wegzubekommen Hallo
__________________mach bitte zuerst alle versteckten Dateien und Ordner sichtbar. Dann deinstalliere über Start -> Einstellungen -> Systemsteuerung -> Software das Programm Save oder WhenU(Save) o.ä. Deaktiviere die bitte Systemwiederherstellung und führe einen Neustart durch. Lade dir ClearProg und lasse es dein System bereinigen (hake an --> alles löschen) und lass alles löschen. Deaktiviere bitte den Hintergrundwächter deines Antivirenprogrammes. Dann lade dir bitte Combofix runter ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen -Während des Durchlaufs bitte alle Programme geschlossen halten und nichts am Rechner machen -Der Scan kann etwas dauern und evtl. wird dein Rechner neu starten -kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! Erstelle auch ein frisches HijackThis Log, benenne aber vorher die Hijackthis.exe um in z.B. ABC.exe. MFG |
|
05.03.2008, 10:30
| #3 |
| | Trojaner BAT/Fake.Privdanger nicht wegzubekommen Hallo,
__________________vielen lieben Dank zunächst mal für die Anweisungen. Ich habe versucht diese zu befolgen. Es hat auch soweit geklappt (versteckte Dateien und Ordner, Systemwiederherstellung, Clearprog, Combofix), allerdings konnte ich das Programm Save oder WhenU(Save) o.ä. nicht am angegebenen Ort finden und habe es, falls es denn doch da war, somit auch nicht deaktiviert. Ich muss zunächst sagen: mein Bildschirm ist noch weiß und als Startseite habe ich immer noch so einen Spyware download, glaube aber, dass muss nicht unbedingt was heißen, denn den letzten Minuten kommen zumindest keine Meldungen mehr. Ich habe nun hier den Text von Combofix: ComboFix 08-03-04.5 - MatVogl 2008-03-05 10:36:41.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.53 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\MatVogl\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OPQRSTUV\ComboFix[1].exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\MatVogl\Desktop\Error Cleaner.url C:\Dokumente und Einstellungen\MatVogl\Desktop\Privacy Protector.url C:\Dokumente und Einstellungen\MatVogl\Desktop\Spyware&Malware Protection.url C:\Dokumente und Einstellungen\MatVogl\Favoriten\Error Cleaner.url C:\Dokumente und Einstellungen\MatVogl\Favoriten\Privacy Protector.url C:\Dokumente und Einstellungen\MatVogl\Favoriten\Spyware&Malware Protection.url C:\Programme\delfin C:\WINDOWS\alofkmn.dll C:\WINDOWS\bxlrvps.dll C:\WINDOWS\ekvgsnw.dll C:\WINDOWS\NDNuninstall4_94.exe C:\WINDOWS\NDNuninstall5_64.exe C:\WINDOWS\privacy_danger C:\WINDOWS\privacy_danger\images\capt.gif C:\WINDOWS\privacy_danger\images\danger.jpg C:\WINDOWS\privacy_danger\images\down.gif C:\WINDOWS\privacy_danger\images\spacer.gif C:\WINDOWS\privacy_danger\index.htm C:\WINDOWS\system32\uninstall.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-02-05 bis 2008-03-05 )))))))))))))))))))))))))))))) . 2008-02-29 15:39 . 2008-02-29 15:44 3,364 --a------ C:\WINDOWS\system32\tmp.reg 2008-02-29 15:37 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-02-29 15:37 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-02-29 15:37 . 2008-02-28 11:37 86,016 --a------ C:\WINDOWS\system32\VACFix.exe 2008-02-29 15:37 . 2008-02-08 10:37 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-02-29 15:37 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-02-29 15:37 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-02-29 15:37 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2006-06-21 13:34 80,048 ----a-w C:\Dokumente und Einstellungen\MatVogl\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2003-11-02 10:18 75,048 ----a-w C:\Dokumente und Einstellungen\DietVogl\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2003-02-03 20:47 1,475,882 ----a-w C:\Programme\einsatzfahrt.exe 2003-01-26 15:16 2,671,104 ----a-w C:\Programme\EasyDivX_082_lite.exe 2002-12-21 21:56 3,269,351 ----a-w C:\Programme\winamp3_0-full.exe 2002-12-12 09:31 921,031 ----a-w C:\Programme\wrar300d.exe 2002-12-02 11:18 2,576,808 ----a-w C:\Programme\deaim47.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53D3C442-8FEE-4784-9A21-6297D39613F0}] C:\WINDOWS\System32\Winad2.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "sp"="C:\WINDOWS\sp.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [2002-02-04 21:32 53248] "SoundMan"="SOUNDMAN.EXE" [2002-08-15 11:46 46592 C:\WINDOWS\SOUNDMAN.EXE] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 16:34 249896] "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 15:07 49263] "WindowEnhancer"="C:\Programme\winex\v2\winex.exe" [ ] "WhenUSave"="C:\PROGRA~1\Save\Save.exe" [ ] "SysUpd"="C:\WINDOWS\System32\SysUpd.exe" [ ] "PrinTray"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe" [2001-10-12 13:25 34816] "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 18:43 28672] "MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 00:58 160768] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] Source= file:///C:\WINDOWS\privacy_danger\index.htm FriendlyName= Privacy Protection [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Notification Packages REG_MULTI_SZ scecli scecli scecli [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Office-Start.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Office-Start.lnk backup=C:\WINDOWS\pss\Office-Start.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Timex Data Link USB Launcher.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Timex Data Link USB Launcher.lnk backup=C:\WINDOWS\pss\Timex Data Link USB Launcher.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Agent] --a------ 2002-09-26 15:49 69632 C:\Programme\Medion\PowerCinema\My_TV\Agent.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AIM] --a------ 2002-11-14 01:50 61440 C:\Programme\AIM95\aim.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CapFax] --a------ 2001-12-10 16:34 20739 C:\Programme\Classic PhoneTools\CapFax.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL] --a------ 2002-11-02 07:33 45056 C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray] --a------ 2002-11-04 17:57 73728 C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DInfoSetup] --a------ 2000-06-26 00:00 134656 C:\Programme\D-Info2000 Kompakt\SDinfo.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DiskeeperSystray] --a------ 2004-12-21 23:29 180312 C:\Programme\Executive Software\Diskeeper\DkIcon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit] --a------ 2002-08-28 12:43 73728 C:\WINDOWS\Dit.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DownloadWare] C:\Programme\DownloadWare\dw.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaLoads Installer] C:\Programme\DownloadWare\dw.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\New.net Startup] C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIEW] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2002-12-02 13:02 77824 C:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealPlayer] --a------ 2006-05-28 19:45 1003520 C:\Programme\Real\RealPlayer\realplay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray] --a------ 2006-05-28 19:45 1003520 C:\Programme\Real\RealPlayer\RealPlay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] --a------ 2006-10-13 17:20 20058152 C:\Programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpeedTouch USB Diagnostics] --a------ 2002-05-03 10:40 4341760 C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2004-05-13 22:32 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\websearch] wjview /cp  C:\Programme\websearch\System\Code Main lp: C:\Programme\websearch[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a------ 2002-07-23 17:58 12288 C:\Programme\Winamp3\winampa.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\\Programme\\Internet Explorer\\iexplore.exe"= R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-15 19:46] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-15 19:46] R1 SLEE_13_DRIVER;Steganos Live Encryption Engine 13 [Driver];C:\WINDOWS\system32\drivers\SLEE13.sys [2005-10-04 16:42] R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2006-10-04 21:36] R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 12:13] R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 13:14] R3 fxpcbase;AVM ISDN-Connector FRITZ!X PC v2.0/v3.0 (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fxpcbase.sys [2001-11-29 01:00] R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\system32\DRIVERS\ctxs51.sys [2002-07-01 15:10] R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 13:15] S3 atirage;atirage;C:\WINDOWS\system32\DRIVERS\atiragem.sys [2001-08-18 03:19] S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" [2006-10-23 03:39] S3 IIUSBISP;USB Mass Storage for USB ISP;C:\WINDOWS\system32\Drivers\iiusbisp.sys [] S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 09:14] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-05 10:43:13 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Executive Software\Diskeeper\DkService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\wanmpsvc.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-03-05 10:45:43 - machine was rebooted ComboFix-quarantined-files.txt 2008-03-05 09:45:38 Und hier ist noch das neue Lofgfile von Highjackthis bzw. jetzt ABC.exe: Logfile of HijackThis v1.99.1 Scan saved at 10:58:12, on 05.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Executive Software\Diskeeper\DkService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\MatVogl\Desktop\ABC.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Advertiser Class - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINDOWS\System32\Winad2.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar.dll O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [WindowEnhancer] "C:\Programme\winex\v2\winex.EXE" /U O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\googletoolbar.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\googletoolbar.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\googletoolbar.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\googletoolbar.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://C:\Programme\Google\googletoolbar.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU) O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} - http://webinstall.tscash.com/webinstall.cab O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - http://erotik.x-tonne.de/kerstin/webinstall.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab O18 - Protocol: haufereader - (no CLSID) - (no file) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe So, das wäre das. Da ich da natürlich wieder nicht so ganz durchblicke, wäre es sehr nett, wenn Du/Ihr mir schreiben könntet, ob sich nun was verändert hat, der Trojaner vielleicht weg ist bzw. was ich evtl. noch machen muss. Vielen Dank im Voraus. MFG MV |
|
05.03.2008, 18:10
| #4 |
| | Trojaner BAT/Fake.Privdanger nicht wegzubekommen Hallo es ist/bleibt noch einiges zu tun. Arbeite mal diese Anleitung ab lalalalalalala  http://www.trojaner-board.de/51187-a...i-malware.html und poste anschließend das Log, wollen wir mal schauen was SUPERAntiSpyware alles wegräumt genug zu tun gibt es ja noch  .Lass hinterher bitte auch nochmal Combofix laufen und poste ebenfalls das Log. MFG Geändert von nochdigger (05.03.2008 um 18:27 Uhr) Grund: büschen durcheinander |
|
05.03.2008, 22:34
| #5 |
| | Trojaner BAT/Fake.Privdanger nicht wegzubekommen Hallo, ich habe nun SUPERAntiSpyware drüberlaufen lassen und auch Combofix noch einmal. SASW hat 27 detected files gefunden, die nun in Quarantine sind. Sonstiges: Bildschirmhintergrund ist noch immer weiß, keine weiteren Spyware-Meldungen, nach jedem Neustart startet automatisch das Systemkonfigurationsprogramm. Hier sind die beiden Logfiles: 1. SASW: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 03/05/2008 at 10:23 PM Application Version : 4.0.1154 Core Rules Database Version : 3414 Trace Rules Database Version: 1406 Scan type : Complete Scan Total Scan Time : 00:46:51 Memory items scanned : 385 Memory threats detected : 0 Registry items scanned : 5406 Registry threats detected : 17 File items scanned : 60487 File threats detected : 10 Adware.WinAd HKLM\Software\Classes\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0} HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0} HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0} HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0}#AppID HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0}\Implemented Categories HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4} HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4} HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0}\InprocServer32 HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0}\InprocServer32#ThreadingModel HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0}\ProgID HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0}\Programmable HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0}\TypeLib HKCR\CLSID\{53D3C442-8FEE-4784-9A21-6297D39613F0}\VersionIndependentProgID C:\WINDOWS\SYSTEM32\WINAD2.DLL HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53D3C442-8FEE-4784-9A21-6297D39613F0} Adware.WhenU C:\Programme\Save\ReadMe.txt C:\Programme\Save Trojan.NewDotNet HKU\.DEFAULT\Software\New.net HKU\S-1-5-18\Software\New.net C:\QOOBOX\QUARANTINE\C\WINDOWS\NDNUNINSTALL4_94.EXE.VIR C:\QOOBOX\QUARANTINE\C\WINDOWS\NDNUNINSTALL5_64.EXE.VIR Browser Hijacker.Internet Explorer Settings Hijack HKU\S-1-5-21-3088433937-2885428501-3134616843-1007\Software\Microsoft\Internet Explorer\Main#Start Page [ http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 ] Trojan.Unclassified/EGO C:\QOOBOX\QUARANTINE\C\WINDOWS\EKVGSNW.DLL.VIR Desktop Hijacker.AboutYourPrivacy C:\QOOBOX\QUARANTINE\C\WINDOWS\PRIVACY_DANGER\IMAGES\CAPT.GIF.VIR C:\QOOBOX\QUARANTINE\C\WINDOWS\PRIVACY_DANGER\IMAGES\DANGER.JPG.VIR C:\QOOBOX\QUARANTINE\C\WINDOWS\PRIVACY_DANGER\IMAGES\DOWN.GIF.VIR Adware.Jraun/WinEssential D:\SYSTEM VOLUME INFORMATION\_RESTORE{530CE4CC-7AA4-472B-AB0A-C4A85E7EDA34}\RP25\A0003090.EXE 2. Combofix: ComboFix 08-03-05.1 - MatVogl 2008-03-05 22:45:23.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.60 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\MatVogl\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EUB9WZXT\ComboFix[1].exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((( Dateien erstellt von 2008-02-05 bis 2008-03-05 )))))))))))))))))))))))))))))) . 2008-03-05 21:30 . 2008-03-05 21:30 <DIR> d-------- C:\Programme\SUPERAntiSpyware 2008-03-05 21:30 . 2008-03-05 21:30 <DIR> d-------- C:\Dokumente und Einstellungen\MatVogl\Anwendungsdaten\SUPERAntiSpyware.com 2008-03-05 21:30 . 2008-03-05 21:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2008-03-05 21:29 . 2008-03-05 21:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-02-29 15:39 . 2008-02-29 15:44 3,364 --a------ C:\WINDOWS\system32\tmp.reg 2008-02-29 15:37 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-02-29 15:37 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-02-29 15:37 . 2008-02-28 11:37 86,016 --a------ C:\WINDOWS\system32\VACFix.exe 2008-02-29 15:37 . 2008-02-08 10:37 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-02-29 15:37 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-02-29 15:37 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-02-29 15:37 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2006-06-21 13:34 80,048 ----a-w C:\Dokumente und Einstellungen\MatVogl\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2003-11-02 10:18 75,048 ----a-w C:\Dokumente und Einstellungen\DietVogl\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2003-02-03 20:47 1,475,882 ----a-w C:\Programme\einsatzfahrt.exe 2003-01-26 15:16 2,671,104 ----a-w C:\Programme\EasyDivX_082_lite.exe 2002-12-21 21:56 3,269,351 ----a-w C:\Programme\winamp3_0-full.exe 2002-12-12 09:31 921,031 ----a-w C:\Programme\wrar300d.exe 2002-12-02 11:18 2,576,808 ----a-w C:\Programme\deaim47.exe . ((((((((((((((((((((((((((((( snapshot@2008-03-05_10.45.23.90 ))))))))))))))))))))))))))))))))))))))))) . + 2008-03-05 20:30:45 34,304 ----a-r C:\WINDOWS\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF1.exe + 2008-03-05 21:51:03 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_480.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "sp"="C:\WINDOWS\sp.exe" [ ] "SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-02-29 16:03 1481968] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [2002-02-04 21:32 53248] "SoundMan"="SOUNDMAN.EXE" [2002-08-15 11:46 46592 C:\WINDOWS\SOUNDMAN.EXE] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 16:34 249896] "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 15:07 49263] "WindowEnhancer"="C:\Programme\winex\v2\winex.exe" [ ] "WhenUSave"="C:\PROGRA~1\Save\Save.exe" [ ] "SysUpd"="C:\WINDOWS\System32\SysUpd.exe" [ ] "PrinTray"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe" [2001-10-12 13:25 34816] "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 18:43 28672] "MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 00:58 160768] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] Source= file:///C:\WINDOWS\privacy_danger\index.htm FriendlyName= Privacy Protection [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Notification Packages REG_MULTI_SZ scecli scecli scecli [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Office-Start.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Office-Start.lnk backup=C:\WINDOWS\pss\Office-Start.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Timex Data Link USB Launcher.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Timex Data Link USB Launcher.lnk backup=C:\WINDOWS\pss\Timex Data Link USB Launcher.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Agent] --a------ 2002-09-26 15:49 69632 C:\Programme\Medion\PowerCinema\My_TV\Agent.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AIM] --a------ 2002-11-14 01:50 61440 C:\Programme\AIM95\aim.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CapFax] --a------ 2001-12-10 16:34 20739 C:\Programme\Classic PhoneTools\CapFax.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL] --a------ 2002-11-02 07:33 45056 C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray] --a------ 2002-11-04 17:57 73728 C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DInfoSetup] --a------ 2000-06-26 00:00 134656 C:\Programme\D-Info2000 Kompakt\SDinfo.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DiskeeperSystray] --a------ 2004-12-21 23:29 180312 C:\Programme\Executive Software\Diskeeper\DkIcon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit] --a------ 2002-08-28 12:43 73728 C:\WINDOWS\Dit.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DownloadWare] C:\Programme\DownloadWare\dw.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaLoads Installer] C:\Programme\DownloadWare\dw.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\New.net Startup] C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIEW] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2002-12-02 13:02 77824 C:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealPlayer] --a------ 2006-05-28 19:45 1003520 C:\Programme\Real\RealPlayer\realplay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray] --a------ 2006-05-28 19:45 1003520 C:\Programme\Real\RealPlayer\RealPlay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] --a------ 2006-10-13 17:20 20058152 C:\Programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpeedTouch USB Diagnostics] --a------ 2002-05-03 10:40 4341760 C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2004-05-13 22:32 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\websearch] wjview /cp C:\Programme\websearch\System\Code Main lp: C:\Programme\websearch[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a------ 2002-07-23 17:58 12288 C:\Programme\Winamp3\winampa.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\\Programme\\Internet Explorer\\iexplore.exe"= R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-15 19:46] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-15 19:46] R1 SLEE_13_DRIVER;Steganos Live Encryption Engine 13 [Driver];C:\WINDOWS\system32\drivers\SLEE13.sys [2005-10-04 16:42] R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2006-10-04 21:36] R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 12:13] R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 13:14] R3 fxpcbase;AVM ISDN-Connector FRITZ!X PC v2.0/v3.0 (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fxpcbase.sys [2001-11-29 01:00] R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\system32\DRIVERS\ctxs51.sys [2002-07-01 15:10] R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 13:15] S3 atirage;atirage;C:\WINDOWS\system32\DRIVERS\atiragem.sys [2001-08-18 03:19] S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" [2006-10-23 03:39] S3 IIUSBISP;USB Mass Storage for USB ISP;C:\WINDOWS\system32\Drivers\iiusbisp.sys [] S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 09:14] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-05 22:52:17 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Executive Software\Diskeeper\DkService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\WINDOWS\System32\imapi.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-03-05 22:56:56 - machine was rebooted ComboFix-quarantined-files.txt 2008-03-05 21:56:51 ComboFix2.txt 2008-03-05 09:45:44 Wäre für eine erneute Antwort sehr dankbar. Ist wahrscheinlich immer noch einiges zu tun. MFG MV |
|
06.03.2008, 06:11
| #6 | |
| | Trojaner BAT/Fake.Privdanger nicht wegzubekommen Moin lade dir bitte Smitfraudfix Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix -Starte deinen Rechner in den abgesicherten Modus (beim start F8 drücken) -Starte Smitfraudfix und lass das System Bereinigen. (Option 2)  -Starte dein System neu in den normalen Modus -Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans Leere bitte diesen Ordner Zitat:
Danach sehen wir weiter. MFG |
|
06.03.2008, 09:18
| #7 |
| | Trojaner BAT/Fake.Privdanger nicht wegzubekommen Hallo, hab jetzt noch einmal SmitfraufFix benutzt und die Dateien im angegebenen Ordner und danach den Mülleimer gelöscht. Danach haben sich 2 sichtbare Dinge verändert: 1. Nach dem Neustart war der Bilschirm nicht mehr weiß 2. Ich hatte nicht mehr eine gefakte Antimalware-Seite sondern die MSN-Seite als Startseite im IE. SASW hat das erkannt, ich hab das aber dann zugelassen. Nur das Systemkonfigurationsprogramm startet immer noch mit. Ich hatte nach den letzten Einträgen schon die Befürchtung, dass da vielleicht nichts mehr zu machen sei  . Ich hoffe es hat sich vielleicht jetzt doch noch was zum Positiven verändert . Hier nun noch das Ergebnis von SmitfraudFix:SmitFraudFix v2.298 Scan done at 9:29:17,79, 06.03.2008 Run from C:\Dokumente und Einstellungen\MatVogl\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{BD5DEEDF-27F2-4621-9BD8-8842B72DFDBB}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{BD5DEEDF-27F2-4621-9BD8-8842B72DFDBB}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{BD5DEEDF-27F2-4621-9BD8-8842B72DFDBB}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{BD5DEEDF-27F2-4621-9BD8-8842B72DFDBB}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End MFG MV |
|
06.03.2008, 18:05
| #8 | |
| | Trojaner BAT/Fake.Privdanger nicht wegzubekommen Hallo Zitat:
Lade dir bitte mal Avenger Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Code:
ATTFilter Folders to delete:
C:\Programme\Save
C:\Programme\pop
C:\Programme\scbar
C:\Programme\winex
C:\Programme\DownloadWare
Files to delete:
C:\WINDOWS\privacy_danger\index.htm
C:\Programme\Save\ReadMe.txt
C:\Programme\Save\Save.exe
C:\WINDOWS\System32\Winad2.dll
C:\WINDOWS\sp.exe
C:\WINDOWS\System32\SysUpd.exe
C:\WINDOWS\system32\winex.dll
C:\WINDOWS\system32\windowenhancer.dll
C:\WINDOWS\system32\scbar.dll
C:\WINDOWS\system\winex.dll
C:\WINDOWS\system\windowenhancer.dll
C:\WINDOWS\system\scbar.dll
C:\WINDOWS\system32\msg{75f9eddb-7068-44f3-929e-5fe57a778e98}0110.dll
C:\WINDOWS\system32\msg{75f9eddb-7068-44f3-929e-5fe57a778e98}0111.dll
C:\WINDOWS\system\winex.dll
C:\WINDOWS\system\windowenhancer.dll
C:\WINDOWS\system\scbar.dll
C:\Programme\winex\v2\winex.dll
C:\Programme\scbar\v2\scbar.dll
C:\Programme\scbar\v1\scbar.dll
C:\Programme\pop\pophook3.dll
C:\Programme\pop\pop184.dll
C:\Programme\winex\winex.exe
C:\Programme\DownloadWare\dw.exe
Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|SysUpd
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|sp
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|searchenhancement
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|windowenhancer
 4.) Danach das System unverzüglich neu starten lassen 5.) Lass Combofix nochmal laufen und poste ein neues Logfile. Poste ausserdem den Inhalt der C:\avenger.txt Datei. MFG |
|
07.03.2008, 00:18
| #9 |
| | Trojaner BAT/Fake.Privdanger nicht wegzubekommen Hallo, die Dateien waren tatsächlich noch nicht gelöscht, nur in Quarantäne, deshalb habe ich das noch gemacht. Der Avenger hat mittlerweile offenbar eine neue Oberfläche, ich hoffe ich habs dennoch richtig gemacht. Hier ist die txt.: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: folder "C:\Programme\Save" not found! Deletion of folder "C:\Programme\Save" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "C:\Programme\pop" not found! Deletion of folder "C:\Programme\pop" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "C:\Programme\scbar" not found! Deletion of folder "C:\Programme\scbar" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "C:\Programme\winex" not found! Deletion of folder "C:\Programme\winex" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "C:\Programme\DownloadWare" not found! Deletion of folder "C:\Programme\DownloadWare" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not open file "C:\WINDOWS\privacy_danger\index.htm" Deletion of file "C:\WINDOWS\privacy_danger\index.htm" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file "C:\Programme\Save\ReadMe.txt" Deletion of file "C:\Programme\Save\ReadMe.txt" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file "C:\Programme\Save\Save.exe" Deletion of file "C:\Programme\Save\Save.exe" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: file "C:\WINDOWS\System32\Winad2.dll" not found! Deletion of file "C:\WINDOWS\System32\Winad2.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\sp.exe" not found! Deletion of file "C:\WINDOWS\sp.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\System32\SysUpd.exe" not found! Deletion of file "C:\WINDOWS\System32\SysUpd.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\winex.dll" not found! Deletion of file "C:\WINDOWS\system32\winex.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\windowenhancer.dll" not found! Deletion of file "C:\WINDOWS\system32\windowenhancer.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\scbar.dll" not found! Deletion of file "C:\WINDOWS\system32\scbar.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not open file "C:\WINDOWS\system\winex.dll C:\WINDOWS\system\windowenhancer.dll" Deletion of file "C:\WINDOWS\system\winex.dll C:\WINDOWS\system\windowenhancer.dll" failed! Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID) --> an object cannot have this name Error: could not open file "C:\WINDOWS\system\scbar.dll C:\WINDOWS\system32\msg{75f9eddb-7068-44f3-929e-5fe57a778e98}0110.dll" Deletion of file "C:\WINDOWS\system\scbar.dll C:\WINDOWS\system32\msg{75f9eddb-7068-44f3-929e-5fe57a778e98}0110.dll" failed! Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID) --> an object cannot have this name Error: could not open file "C:\WINDOWS\system32\msg{75f9eddb-7068-44f3-929e-5fe57a778e98}0111.dll C:\WINDOWS\system\winex.dll" Deletion of file "C:\WINDOWS\system32\msg{75f9eddb-7068-44f3-929e-5fe57a778e98}0111.dll C:\WINDOWS\system\winex.dll" failed! Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID) --> an object cannot have this name Error: file "C:\WINDOWS\system\windowenhancer.dll" not found! Deletion of file "C:\WINDOWS\system\windowenhancer.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system\scbar.dll" not found! Deletion of file "C:\WINDOWS\system\scbar.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not open file "C:\Programme\winex\v2\winex.dll" Deletion of file "C:\Programme\winex\v2\winex.dll" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file "C:\Programme\scbar\v2\scbar.dll" Deletion of file "C:\Programme\scbar\v2\scbar.dll" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file "C:\Programme\scbar\v1\scbar.dll" Deletion of file "C:\Programme\scbar\v1\scbar.dll" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file "C:\Programme\pop\pophook3.dll" Deletion of file "C:\Programme\pop\pophook3.dll" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file "C:\Programme\pop\pop184.dll" Deletion of file "C:\Programme\pop\pop184.dll" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file "C:\Programme\winex\winex.exe" Deletion of file "C:\Programme\winex\winex.exe" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not open file "C:\Programme\DownloadWare\dw.exe" Deletion of file "C:\Programme\DownloadWare\dw.exe" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Error: could not delete registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|SysUpd" Deletion of registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|SysUpd" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not delete registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|sp" Deletion of registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|sp" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not delete registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|searchenhancement" Deletion of registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|searchenhancement" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not delete registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|windowenhancer" Deletion of registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|windowenhancer" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. Und die noch die Logfile von Combofix: ComboFix 08-03-05.3 - MatVogl 2008-03-07 0:14:44.3 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.76 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\MatVogl\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C5QVWTAB\ComboFix[1].exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((( Dateien erstellt von 2008-02-06 bis 2008-03-06 )))))))))))))))))))))))))))))) . 2008-03-05 21:30 . 2008-03-05 21:30 <DIR> d-------- C:\Programme\SUPERAntiSpyware 2008-03-05 21:30 . 2008-03-05 21:30 <DIR> d-------- C:\Dokumente und Einstellungen\MatVogl\Anwendungsdaten\SUPERAntiSpyware.com 2008-03-05 21:30 . 2008-03-05 21:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2008-03-05 21:29 . 2008-03-05 21:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-02-29 15:39 . 2008-03-06 09:29 2,530 --a------ C:\WINDOWS\system32\tmp.reg 2008-02-29 15:37 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-02-29 15:37 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-02-29 15:37 . 2008-02-28 11:37 86,016 --a------ C:\WINDOWS\system32\VACFix.exe 2008-02-29 15:37 . 2008-02-08 10:37 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-02-29 15:37 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-02-29 15:37 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-02-29 15:37 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2006-06-21 13:34 80,048 ----a-w C:\Dokumente und Einstellungen\MatVogl\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2003-11-02 10:18 75,048 ----a-w C:\Dokumente und Einstellungen\DietVogl\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2003-02-03 20:47 1,475,882 ----a-w C:\Programme\einsatzfahrt.exe 2003-01-26 15:16 2,671,104 ----a-w C:\Programme\EasyDivX_082_lite.exe 2002-12-21 21:56 3,269,351 ----a-w C:\Programme\winamp3_0-full.exe 2002-12-12 09:31 921,031 ----a-w C:\Programme\wrar300d.exe 2002-12-02 11:18 2,576,808 ----a-w C:\Programme\deaim47.exe . ((((((((((((((((((((((((((((( snapshot@2008-03-05_10.45.23.90 ))))))))))))))))))))))))))))))))))))))))) . + 2008-03-05 20:30:45 34,304 ----a-r C:\WINDOWS\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF1.exe + 2008-03-06 22:38:28 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_470.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "sp"="C:\WINDOWS\sp.exe" [ ] "SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-02-29 16:03 1481968] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [2002-02-04 21:32 53248] "SoundMan"="SOUNDMAN.EXE" [2002-08-15 11:46 46592 C:\WINDOWS\SOUNDMAN.EXE] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 16:34 249896] "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 15:07 49263] "WhenUSave"="C:\PROGRA~1\Save\Save.exe" [ ] "PrinTray"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe" [2001-10-12 13:25 34816] "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 18:43 28672] "MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 00:58 160768] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Notification Packages REG_MULTI_SZ scecli scecli scecli [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Office-Start.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Office-Start.lnk backup=C:\WINDOWS\pss\Office-Start.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Timex Data Link USB Launcher.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Timex Data Link USB Launcher.lnk backup=C:\WINDOWS\pss\Timex Data Link USB Launcher.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Agent] --a------ 2002-09-26 15:49 69632 C:\Programme\Medion\PowerCinema\My_TV\Agent.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AIM] --a------ 2002-11-14 01:50 61440 C:\Programme\AIM95\aim.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CapFax] --a------ 2001-12-10 16:34 20739 C:\Programme\Classic PhoneTools\CapFax.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL] --a------ 2002-11-02 07:33 45056 C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray] --a------ 2002-11-04 17:57 73728 C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DInfoSetup] --a------ 2000-06-26 00:00 134656 C:\Programme\D-Info2000 Kompakt\SDinfo.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DiskeeperSystray] --a------ 2004-12-21 23:29 180312 C:\Programme\Executive Software\Diskeeper\DkIcon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit] --a------ 2002-08-28 12:43 73728 C:\WINDOWS\Dit.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DownloadWare] C:\Programme\DownloadWare\dw.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaLoads Installer] C:\Programme\DownloadWare\dw.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\New.net Startup] C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIEW] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2002-12-02 13:02 77824 C:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealPlayer] --a------ 2006-05-28 19:45 1003520 C:\Programme\Real\RealPlayer\realplay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray] --a------ 2006-05-28 19:45 1003520 C:\Programme\Real\RealPlayer\RealPlay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] --a------ 2006-10-13 17:20 20058152 C:\Programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpeedTouch USB Diagnostics] --a------ 2002-05-03 10:40 4341760 C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2004-05-13 22:32 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\websearch] wjview /cp C:\Programme\websearch\System\Code Main lp: C:\Programme\websearch[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a------ 2002-07-23 17:58 12288 C:\Programme\Winamp3\winampa.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\\Programme\\Internet Explorer\\iexplore.exe"= R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-15 19:46] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-15 19:46] R1 SLEE_13_DRIVER;Steganos Live Encryption Engine 13 [Driver];C:\WINDOWS\system32\drivers\SLEE13.sys [2005-10-04 16:42] R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2006-10-04 21:36] R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 12:13] R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 13:14] R3 fxpcbase;AVM ISDN-Connector FRITZ!X PC v2.0/v3.0 (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fxpcbase.sys [2001-11-29 01:00] R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\system32\DRIVERS\ctxs51.sys [2002-07-01 15:10] R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 13:15] S3 atirage;atirage;C:\WINDOWS\system32\DRIVERS\atiragem.sys [2001-08-18 03:19] S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" [2006-10-23 03:39] S3 IIUSBISP;USB Mass Storage for USB ISP;C:\WINDOWS\system32\Drivers\iiusbisp.sys [] S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 09:14] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-07 00:22:34 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Executive Software\Diskeeper\DkService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Microsoft Office\Office\FINDFAST.EXE . ************************************************************************** . Zeit der Fertigstellung: 2008-03-07 0:26:38 - machine was rebooted ComboFix-quarantined-files.txt 2008-03-05 21:56:51 ComboFix2.txt 2008-03-05 21:56:56 ComboFix3.txt 2008-03-05 09:45:44 MFG MV |
|
07.03.2008, 05:41
| #10 | |
| | Trojaner BAT/Fake.Privdanger nicht wegzubekommen Hallo Das mit der neuen Avengerversion bedarf bei mir wohl noch ein wenig Übung  , na gut, dann eben so --> klicke bitte auf "Start" --> dann auf "Ausführen" --> gib ein "Regedit" --> "Enter" drücken --> unter "Datei" --> "Exportieren" klicken und die Registry als "Sicherung" speichern. Dann arbeite dich vor zu diesen Schlüsseln und lösche sie, wenn vorhanden, im rechten Feld rechtsklick auf den entsprechenden Eintrag und löschen wählen. (Sei bitte bei dieser Aktion sehr vorsichtig, hier kann man sich mit einem falsch gelöschtem Eintrag den gesamten Rechner zerlegen  )Zitat:
MFG |
|
07.03.2008, 09:42
| #11 |
| | Trojaner BAT/Fake.Privdanger nicht wegzubekommen Hallo, danke für die weiteren Tips. Bin nach den Anweisungen vorgegangen und hoffe erneut, es hat sich was gebessert. Hier ist das Hijackthis-Logfile: Logfile of HijackThis v1.99.1 Scan saved at 10:10:23, on 07.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Executive Software\Diskeeper\DkService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.5.0_10\bin\jusched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Dokumente und Einstellungen\MatVogl\Desktop\ABC.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar.dll O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\googletoolbar.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\googletoolbar.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\googletoolbar.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\googletoolbar.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://C:\Programme\Google\googletoolbar.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU) O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} - http://webinstall.tscash.com/webinstall.cab O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - http://erotik.x-tonne.de/kerstin/webinstall.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab O18 - Protocol: haufereader - (no CLSID) - (no file) O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe MFG MV |
|
07.03.2008, 16:01
| #12 | ||
| | Trojaner BAT/Fake.Privdanger nicht wegzubekommen Hallo Zitat:
Starte HijackThis mit der Option - do a system scan only - und hake diese Einträge an Zitat:
Deinstalliere bitte (alle) deine alten Java und Adobe Readerversionen. Versorge dich hier Download der Java-Software von Sun Microsystems und hier Adobe - Adobe Reader herunterladen - Alle Versionen mit den neuen Versionen, installiere diese bitte erst nach der Bereinigung mit dem Ccleaner. Ccleaner - System bereinigen Lade dir den CCleaner runter -> KLICK - Ccleaner installieren (die toolbar nicht installieren) und starten - wähle unter Options --> Settings --> German - bereinige dein System  - lass auch die fehler in der registry beheben --> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben --> so oft laufen lassen bis keine Probleme mehr zu bereinigen sind. Anschließend solltest du diese Seite besuchen und einen Onlinescan durchführen Online-Viren-Scanner poste anschließend die Funde nur bitte keine über Kekse. MFG |
|
07.03.2008, 16:28
| #13 |
| | Trojaner BAT/Fake.Privdanger nicht wegzubekommen Hallo, es gibt Probleme beim Löschen von A-Reader bzw. von Java. Ich kann beim Acrobat die Datei AcroIEHelper.ocx und bei Java die Dateien jusched.exe und svv.dll nicht löschen. Er fragt, ob die Dateien schreibgeschützt, voll oder in Anwendung sind. Schreibgeschützt sind sie nicht, in Anwendung auch nicht, voll, weiß ich nicht. Ich habe alles außenrum gelöscht. Kann ich die weiteren Schritte aus dem vorherigen Eintrag trotzdem fortführen oder müssen die beiden Programme wirklich ganz weg sein und wenn ja, wie mach ich das??? Gruß MV |
|
07.03.2008, 17:09
| #14 |
| | Trojaner BAT/Fake.Privdanger nicht wegzubekommen Hallo versuch mal sooo weiter zu machen. MFG |
|
11.03.2008, 17:43
| #15 |
| | Trojaner BAT/Fake.Privdanger nicht wegzubekommen Hallo, entschuldigung, dass ich erst jetzt wieder schreibe, aber ich habe in den letzten beiden Tagen keine Zeit gehabt, mich um das Problem zu kümmern. Ich habe nun den Kaspersky drüberlaufen lassen, was zunächst auch nicht funktioniert hatte, wegen einem fehlenden ActiveX-Steuerelement oder so. Heute dagegen hat es geklappt. Es wurden immer noch 5 Viren und 7 infizierte Dateien gefunden. Hier ist das Gesamtergebnis: PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Dienstag, 11. März 2008 18:01:52 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.98.1 Letztes Update der Antiviren-Datenbanken: 11/03/2008 Anzahl der Einträge in den Antiviren-Datenbanken: 623805 Scan-Einstellungen Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte Archive untersuchen ja Mail-Datenbanken untersuchen ja Untersuchungsobjekt Arbeitsplatz C:\ D:\ E:\ F:\ G:\ Z:\ Untersuchungsergebnisse Untersuchte Objekte insgesamt 66163 Viren gefunden 5 Infizierte Objekte gefunden 7 Verdächtige Objekte gefunden 0 Untersuchungszeit 01:12:04 Name des infizierten Objekts Virusname Letzte Aktion C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\MatVogl\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\AppLogs\SUPERANTISPYWARE-3-11-2008( 13-41-35 ).LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\MatVogl\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\MatVogl\Desktop\SmitfraudFix\Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen C:\Dokumente und Einstellungen\MatVogl\Lokale Einstellungen\Anwendungsdaten\Identities\{BAB165D0-BA25-43F5-A913-FF46326C1375}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From "Maren Schmidt-von Essen" ][Date Fri, 1 Aug 2003 16:42:32 +0200 (added by postmaster@webmail.tiscali.de)]/UNNAMED/LHAPLELH.EXE Infizierte Objekte: Email-Worm.Win32.Hybris.b übersprungen C:\Dokumente und Einstellungen\MatVogl\Lokale Einstellungen\Anwendungsdaten\Identities\{BAB165D0-BA25-43F5-A913-FF46326C1375}\Microsoft\Outlook Express\Gelöschte Objekte.dbx/[From "Maren Schmidt-von Essen" ][Date Fri, 1 Aug 2003 16:42:32 +0200 (added by postmaster@webmail.tiscali.de)]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Hybris.b übersprungen C:\Dokumente und Einstellungen\MatVogl\Lokale Einstellungen\Anwendungsdaten\Identities\{BAB165D0-BA25-43F5-A913-FF46326C1375}\Microsoft\Outlook Express\Gelöschte Objekte.dbx Mail MS Outlook 5: infiziert - 2 übersprungen C:\Dokumente und Einstellungen\MatVogl\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\MatVogl\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\MatVogl\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\MatVogl\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\MatVogl\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008031120080312\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\MatVogl\ntuser.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\MatVogl\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Programme\MediaLoads\notify\notify.exe Infizierte Objekte: not-a-virus:AdWare.Win32.DownloadWare.a übersprungen C:\Programme\MediaLoads\v1\ML.exe Infizierte Objekte: not-a-virus:AdWare.Win32.DownloadWare übersprungen C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP6\change.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\Perflib_Perfdata_454.dat Das Objekt ist gesperrt übersprungen C:\WINDOWS\uexit[1].exe Infizierte Objekte: not-a-virus:Porn-Dialer.Win32.Delf.a übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen D:\ffastunT.ffl Das Objekt ist gesperrt übersprungen D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. Der Kaspersky ist insgesamt 2 mal durchgelaufen. Beim ersten Logfile standen auch noch 4 Word-Dateien drin, die ich parallel auf meinem Laptop geöffnet hatte, der mit W-Lan verbunden ist. Beim zweiten, obigen Logfile sind sie nun nicht mehr dabei. Deshalb hoffe ich, dass mein Laptop mal nichts abbekommen hat. Die Frage ist eben nun: Wie bekommen ich die Viren bzw. infizierten Dateien weg?? MfG MV |
|
| Themen zu Trojaner BAT/Fake.Privdanger nicht wegzubekommen |
| antivir, auf einmal, avg, avgnt, avgnt.exe, avira, bho, bildschirm, computer, ctfmon.exe, drivers, google, highjackthis, hijack, hijackthis, internet explorer, jusched.exe, logfile, problem, registry, security, software, starten, symantec, system, t-online, trojaner, vielen dank, virus, windows, windows xp, wlan, wmid |
Linear-Darstellung
