Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte!

Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte!


Log-Analyse und Auswertung: Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 20.03.2008, 09:49   #1
Kilkan
 
Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte! - Standard

Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte!


Guten Morgen,

Ich habe ein Problem: Seit neustem kommt bei jedem Windows Start 5 fehler Meldungen bzw Funde von Avira (einer davon : DR/Perflogger.AH) ich drück immer auf löschen nur beim nächsten start ist die fehlermeldung immernoch da-.- was mach ich jetzt?

Anhang: Ich poste hier gleich noch mein HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:33:16, on 20.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Opera\Opera.exe
E:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Borland C/C++ Compiling Engine] C:\DOKUME~1\Kerstin\LOKALE~1\ANWEND~1\config.lnk
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1191749499500
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5216/mcfscan.cab
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5759 bytes
Ich hoffe mir kann einer helfen...


MfG Kilkan

Alt 20.03.2008, 10:14   #2
Chris4You
 
Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte! - Standard

Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte!


Hi,

das Einzigste was ich sehe ist das hier:
O4 - HKLM\..\Run: [Borland C/C++ Compiling Engine] C:\DOKUME~1\Kerstin\LOKALE~1\ANWEND~1\config.lnk

Hast Du einen Borland-Compiler auf Deinem Rechner?

Combofix und danach Silentrunner:


Combofix:
Download ComboFix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in dem Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst friert dein Rechner ein Wenn das Tool fertig ist,oeffnet sich ein logfile(combofix.txt )
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Poste es zusammen mit einem neuen Log von HijackThis

Silentrunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

chris
__________________

__________________
Alt 20.03.2008, 10:18   #3
Kilkan
 
Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte! - Standard

Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte!


Okay mache ich nur eine Frage was ist ein Borland Compiler? (keine ahnung von Computern ^^ . Hab das ma im I-net getestet und habs mit HijackThis gelöscht
__________________
Alt 20.03.2008, 10:56   #4
Chris4You
 
Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte! - Standard

Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte!


Hi,

ein Compiler übersetzt eine Programmiersprache (C/C++ etc.) in Maschinencode...
Untypisch sowas über einen config-Link zu starten, prüfe auf was der Link zeigt...
Und führe den Rest durch (Combofix u. Silentrunner)...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 20.03.2008, 13:28   #5
Kilkan
 
Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte! - Standard

Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte!


Okay hab alles gemacht wie du es mir gesagt hast.
Als erstes HijackThis:

Das steht unten Da hat sich nix geändert.
PS: ( dAs passt hier nichtmehr mit rein ;>)


Als Zweites ComboFix:

ComboFix 08-03-18.1 - Kerstin 2008-03-20 13:14:59.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.233 [GMT 1:00]
ausgeführt von:: E:\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\temp.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_POWERMANAGER


((((((((((((((((((((((( Dateien erstellt von 2008-02-20 bis 2008-03-20 ))))))))))))))))))))))))))))))
.

2008-03-16 10:38 . 2008-03-16 10:38 0 --a------ C:\WINDOWS\nsreg.dat
2008-03-14 14:08 . 2008-03-14 14:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\POP3Profiles
2008-03-14 13:55 . 2008-03-14 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\POPWWPROFILES
2008-03-10 13:47 . 2008-03-10 13:47 <DIR> d-------- C:\Programme\DAEMON Tools Lite
2008-03-10 13:44 . 2008-03-10 13:44 <DIR> d-------- C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\DAEMON Tools
2008-03-09 19:45 . 2008-03-09 19:45 <DIR> d-------- C:\Programme\Ubisoft
2008-03-09 19:45 . 2003-10-27 14:06 140,488 --a------ C:\WINDOWS\system32\comdlg32.ocx
2008-03-09 19:45 . 2003-10-27 14:06 115,016 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-03-09 19:45 . 2003-10-27 14:06 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
2008-03-09 19:45 . 2003-10-27 14:06 69,632 --a------ C:\WINDOWS\system32\xmltok.dll
2008-03-09 19:45 . 2003-10-27 14:06 36,864 --a------ C:\WINDOWS\system32\xmlparse.dll
2008-03-09 19:45 . 2003-10-27 14:06 35,840 --a------ C:\WINDOWS\system32\comdlg32.oca
2008-03-09 19:45 . 2003-10-27 14:06 29,184 --a------ C:\WINDOWS\system32\MSINET.oca
2008-03-09 19:45 . 2003-10-27 14:06 26,096 --a------ C:\WINDOWS\system32\xmlinst.exe
2008-02-28 21:46 . 2008-02-28 21:46 <DIR> d-------- C:\WINDOWS\system32\QuickTime
2008-02-28 21:46 . 2008-02-28 21:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TechSmith
2008-02-28 21:46 . 2008-01-31 12:57 107,864 --a------ C:\WINDOWS\system32\tsccvid.dll
2008-02-28 21:45 . 2008-02-28 21:45 <DIR> d-------- C:\Programme\Gemeinsame Dateien\TechSmith Shared
2008-02-28 21:32 . 2008-02-28 21:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2008-02-28 21:32 . 2008-03-19 13:41 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-28 21:32 . 2008-02-28 21:32 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-28 21:31 . 2008-02-28 21:45 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2008-02-28 21:31 . 2003-05-21 13:50 24,576 --a------ C:\WINDOWS\system32\msxml3a.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-20 12:12 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-20 10:44 --------- d-----w C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\teamspeak2
2008-03-16 14:23 --------- d-----w C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\temp
2008-03-14 15:22 --------- d-----w C:\Programme\ICQLite
2008-03-14 13:05 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-10 12:42 716,272 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-02-17 18:59 --------- d-----w C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Ringtone
2008-02-17 18:58 --------- d-----w C:\Programme\Joy RingTone Converter
2008-02-17 18:55 --------- d-----w C:\Programme\Music Xpert Audio Converter
2008-02-17 17:33 --------- d--h--r C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\SecuROM
2008-02-13 18:01 65,536 ----a-w C:\WINDOWS\IFinst27.exe
2008-02-02 11:45 --------- d-----w C:\Programme\Avira
2008-02-02 11:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-02-02 10:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-02 10:45 --------- d-----w C:\Programme\StarOffice6.0
2008-02-02 10:43 36,864 ----a-w C:\WINDOWS\uinst001.exe
2008-01-27 20:27 --------- d-----w C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\Apple Computer
2008-01-26 20:45 --------- d-----w C:\Programme\Spyware Doctor
2008-01-26 19:11 --------- d-----w C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\PC Tools
2008-01-26 13:36 37,119 ----a-w C:\Temp.bat
2008-01-26 13:36 20,480 ----a-w C:\Temp_down.exe
2008-01-22 12:12 --------- d-----w C:\Dokumente und Einstellungen\Kerstin\Anwendungsdaten\ICQLite
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-12-13 19:10 139048]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-02-14 00:09 486856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nForce Tray Options"="sstray.exe" [2002-12-05 11:23 73728 C:\WINDOWS\system32\sstray.exe]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 14:49 49152]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 188464]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-02 12:51 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\system32\\logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
"ATIPTA"=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nero\\Nero Web\\SetupX.exe"=
"E:\\EA GAMES\\Battlefield Vietnam\\BfVietnam.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"D:\\Programme\\Softnyx\\WolfTeam\\Wolfteam.bin"=
"D:\\Programme\\VitalSign_DE\\updater.exe"=

R2 SVKP;SVKP;C:\WINDOWS\System32\SVKP.sys [2007-08-25 20:54]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-03 23:58]
R3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;C:\WINDOWS\system32\Drivers\hcw88rc5.sys [2005-03-15 15:36]
R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;C:\WINDOWS\system32\drivers\hcw88tun.sys [2005-03-15 15:36]
R3 hcw88vid;Hauppauge WinTV 88x Video;C:\WINDOWS\system32\drivers\hcw88vid.sys [2005-03-15 15:36]
R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;C:\WINDOWS\system32\drivers\HCW88BAR.sys [2005-03-15 15:36]
S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" [2006-10-23 02:39]
S3 NTProcDrv;Process creation detector for NT.;E:\Silkroad\Silkroad\Silkroad\NtProcDrv.sys []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-02-02 11:56]
S3 XDva090;XDva090;C:\WINDOWS\system32\XDva090.sys []
S3 XDva092;XDva092;C:\WINDOWS\system32\XDva092.sys []
S3 XDva093;XDva093;C:\WINDOWS\system32\XDva093.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-03-14 16:39:01 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- D:\TuneUp\OneClick.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-20 13:18:58
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-20 13:21:41 - machine was rebooted [Kerstin]
ComboFix-quarantined-files.txt 2008-03-20 12:21:32
.
2007-10-07 12:51:02 --- E O F ---


Und Als Letztes Silent Runners:

"Silent Runners.vbs", revision 56, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"" [null data]
"DAEMON Tools Lite" = ""C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun" ["DT Soft Ltd"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"nForce Tray Options" = "sstray.exe /r" ["NVIDIA Corporation"]
"HP Software Update" = ""C:\Programme\HP\HP Software Update\HPWuSchd2.exe"" ["Hewlett-Packard Company"]
"NeroFilterCheck" = "C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [null data]
"StartCCC" = ""C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"" [null data]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\WinRAR\rarext.dll" [null data]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{280CFDE1-1354-4431-92F3-03073BA593FB}" = "TotalConverter Context Menu Shell Extension"
-> {HKLM...CLSID} = "TotalConverter Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TotalAudioConverter\axTotalConverter.dll" [empty string]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "D:\TuneUp\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TotalConverter\(Default) = "{280CFDE1-1354-4431-92F3-03073BA593FB}"
-> {HKLM...CLSID} = "TotalConverter Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TotalAudioConverter\axTotalConverter.dll" [empty string]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "D:\TuneUp\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
Convert\(Default) = "{9f95ca1a-e80e-4c0f-acd1-4c9b7900b982}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft DirectX SDK (November 2007)\Utilities\Bin\x86\TxView.DLL" [MS]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "D:\TuneUp\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "E:\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Kerstin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Kerstin" & "All Users" startup folders:
---------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"HP Digital Imaging Monitor" -> shortcut to: "C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe" ["Hewlett-Packard Co."]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "D:\TuneUp\OneClick.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" [null data]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [null data]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\System32\HPZipm12.exe" ["HP"]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
hpzlnt12\Driver = "hpzlnt12.dll" ["HP"]


---------- (launch time: 2008-03-20 13:23:06)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 49 seconds, including 18 seconds for message boxes)


Alt 20.03.2008, 15:11   #6
Chris4You
 
Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte! - Standard

Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte!


Hi,

so wie es aussieht hast Du Dir was sehr neues "eingefangen":
S3 XDva090;XDva090;C:\WINDOWS\system32\XDva090.sys []
S3 XDva092;XDva092;C:\WINDOWS\system32\XDva092.sys []
S3 XDva093;XDva093;C:\WINDOWS\system32\XDva093.sys []
E:\Silkroad\Silkroad\Silkroad\NtProcDrv.sys

Jedenfalls kann ich die Dinger nicht eindeutig zuordnen...
->XDVA092.SYS, Prevx

Bitte folgende Files prüfen:
Zitat:
C:\WINDOWS\system32\XDva090.sys
C:\WINDOWS\system32\XDva092.sys
C:\WINDOWS\system32\XDva093.sys
E:\Silkroad\Silkroad\Silkroad\NtProcDrv.sys
VirusTotal - Free Online Virus and Malware Scan
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Poste das Ergebnis mit Filename...
Mir ist leider nicht klar, ob wir die "abschiessen" können (oder ob es dann Deinen Rechner verreißt da sie wichtige Systemkomponenten sind....)

Avira:
Stelle Avira wie folgt ein: Antivir und die Heuristik, die aggressive Variante - Virus Hilfe
Führe einen Systemscan durch und poste das Ergebnis!

chris
__________________
--> Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte!
Geändert von Chris4You (20.03.2008 um 15:17 Uhr)

Alt 21.03.2008, 08:13   #7
Kilkan
 
Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte! - Icon19

Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte!


Hi danke erstma für deine Hilfe,

Die Fehlermeldungen sind weg nachdem ich das mit dem HijackThis gemacht habe.

Die E:/ Silkroad- Datei ist Harmloss da bin ich mir 10000% sicher da es ein Onlinegame von mir ist..

Die anderen datein wollt ich bei Virus total hochladen nur ich hab die Datein bei dem genannten pfad net gefunden..

Avira ist umgestellt Virenscan gemacht --> Nix gefunden ..^^

Läuft wieder würd ich sagen..^^

Antwort

Themen zu Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte!
adobe, antivir, avira, bho, explorer, fehler, fehlermeldung, gservice, hijack, hkus\s-1-5-18, hotkey, icq, internet, internet explorer, löschen, microsoft, opera, problem, programme, security, software, spyware, system, tuneup.defrag, virus, windows, windows xp


« Virus ? Spyware ? | ich brauche hilfe bei einem HiJackThis Log »


Ähnliche Themen: Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte!


  1. Bitte um Hilfe -Virus legt meinen PC lahm
    Log-Analyse und Auswertung - 07.07.2013 (31)
  2. (3x) Bitte Bitte um Hilfe habe mir AKM Trojaner eingefangen brauche aber dringend meinen PC
    Mülltonne - 08.05.2012 (1)
  3. Brauche Bitte Hilfe bei meinen Virus
    Log-Analyse und Auswertung - 14.07.2009 (3)
  4. bekomme immer anti vir meldung bitte um hilfe
    Log-Analyse und Auswertung - 19.04.2009 (2)
  5. Wie bekomme ich den Trojaner Troj/ Agent - IJF vom Rechner los? Bitte um Hilfe
    Mülltonne - 11.12.2008 (3)
  6. Trojaner an Bord - Bekomme sie nicht weg - Bitte um Hilfe =D
    Mülltonne - 09.11.2008 (0)
  7. Hilfe!!! wie bekomme ich meinen rechner viren-/wurmfrei?
    Alles rund um Windows - 15.08.2008 (5)
  8. bekomme meinen trojaner nicht weg! brauche hilfe!
    Log-Analyse und Auswertung - 25.06.2008 (9)
  9. Meinen Rechner hat's erwischt, bitte um Hilfe
    Log-Analyse und Auswertung - 07.05.2008 (15)
  10. TR/Vundo.Gen: Ich bekomme ihn nicht weg, bitte um Hilfe.
    Log-Analyse und Auswertung - 12.04.2008 (4)
  11. bekomme öfters popups, bitte um hilfe
    Log-Analyse und Auswertung - 19.01.2008 (0)
  12. Hilfe wie bekomme ich meinen Trojaner weg
    Log-Analyse und Auswertung - 07.05.2007 (12)
  13. Werden meinen Hijacker nicht los. Bitte um Hilfe.
    Alles rund um Windows - 10.01.2006 (1)
  14. Hilfe, wie bekomme ich den Virus weg.
    Log-Analyse und Auswertung - 13.06.2005 (2)
  15. bekomme highjacker nicht gefixt!bitte hilfe
    Log-Analyse und Auswertung - 21.03.2005 (3)
  16. Bitte um Hilfe,bekomme den Dialer nicht weg!
    Plagegeister aller Art und deren Bekämpfung - 31.08.2004 (1)
  17. Hilfe!!! Wie bekomme ich den Virus los?
    Plagegeister aller Art und deren Bekämpfung - 29.07.2004 (9)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte! - Guten Morgen, Ich habe ein Problem: Seit neustem kommt bei jedem Windows Start 5 fehler Meldungen bzw Funde von Avira (einer davon : DR/Perflogger.AH) ich drück immer auf löschen nur - Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte!...
Archiv
Du betrachtest: Wie bekomme ich meinen (mölichen) Virus weg? Hilfe bitte! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55