Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: escan erstellt - Hier das Ergebnis

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 18.05.2008, 19:37   #16
Jeff77
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Hi,
vielen Dank erstmal für die Anleitung.
Bis Punkt 4 ist alles Erledigt.
Bei Punkt 5 (SmitFraudFix) hakts jedoch:
Ich mache alles wie beschrieben, erst Pkt.1-Enter- dann hab ich den Rapport.
Rechner im abgesicherten Modus starten- SmitFraud starten- Pkt.2-Enter.
Dann fängt er an mit "Killing". Plötzlich geht ein Fenster auf "Datenbereinigung" der Fortschrittsbalken wandert schnell nach oben und dann... das wars... der Bildschirm bleibt schwarz bis auf den "Abgesicherter Modus"-Hinweis am Rand. Auch nach 20 Minuten warten ändert sich nichts. Leider muss ich dann mit dem Taskmanager ran und Windows neu starten
Was mach ich bitte falsch? Zwei mal probiert, zwei mal das gleiche...

Alt 18.05.2008, 21:28   #17
undoreal
/// AVZ-Toolkit Guru
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Poste bitte den Rapport.
__________________

__________________

Alt 19.05.2008, 17:01   #18
Jeff77
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Hier die Logs von Blacklight und Silentrunners und der Rapport von SmitFraud
__________________

Alt 20.05.2008, 06:43   #19
undoreal
/// AVZ-Toolkit Guru
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")


Code:
ATTFilter
Files to delete:
C:\WINDOWS\system32\systems.txt
C:\WINDOWS\ieuu.exe
C:\DOKUME~1\Jeff\LOKALE~1\Temp\7.tmp.exe



Folders to delete:
C:\Programme\BitTorren
C:\Programme\BitComet
C:\PROGRA~1\BEARSH~1
C:\PROGRA~1\YAHOO!
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.



-Repariere bitte dein Host Datei: http://www.funkytoad.com/download/HostsXpert.zip


-Durchsuche deinen Rechner bitte wie in meiner Sigantur beschrieben wird nach folgenden Stichworten und poste was, wo gefunden wurde.

qoMCRlJc , msapsspc.dll , schannel.dll , digest.dll , msnsspc.dll , vtUmMgHY.dll , winwim32.dll


-Und führe natürlich die letzten Schritte der Anleitung von unten durch.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 20.05.2008, 07:39   #20
Jeff77
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Danke undoreal,
SmitFraud soll ich dann weglassen, ja?


Alt 20.05.2008, 08:27   #21
undoreal
/// AVZ-Toolkit Guru
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Jap. Das machen wir manuell.
__________________
--> escan erstellt - Hier das Ergebnis

Alt 20.05.2008, 17:37   #22
Jeff77
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



weiter gehts:
Hier der Avenger Log:
Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: "C:\WINDOWS\system32\systems.txt" is a folder, not a file!
Deletion of file "C:\WINDOWS\system32\systems.txt" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory


Error: file "C:\WINDOWS\ieuu.exe" not found!
Deletion of file "C:\WINDOWS\ieuu.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\DOKUME~1\Jeff\LOKALE~1\Temp\7.tmp.exe" not found!
Deletion of file "C:\DOKUME~1\Jeff\LOKALE~1\Temp\7.tmp.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\Programme\BitTorren" not found!
Deletion of folder "C:\Programme\BitTorren" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


nächster Punkt Host-Datei repariert (glaub ich...)

Dateien suchen:

qoMCRlJc gefunden in C:\Dokumente und Einstellungen\Jeff\Eigene Dateien\pinfect.zip

msapsspc.dll gefunden in C:\Windows\System32
C:\Windows\$NtServicePackUninstall$
C:\Windows\ServicePackFiles\i386

schanell.dll gefunden in C:\Windows\system32
C:\Windows\$NtServicePackUninstall$
C:\Windows\$NtUninstallKB835732$
C:\Windows\$NtUninstallKB935840$
C:\Windows\system32\dllcache
C:\Windows\ServicePackFiles\i386
C:\Windows\$xpsp1hfm$\KB835732
C:\Windows\$hf_mig$\KB935840\SP2QFE

digest.dll gefunden in C:\Windows\system32
wdigest.dll C:\Windows\system32
digest.dll C:\Windows\$NtServicePackUninstall$
wdigest.dll C:\Windows\$NtServicePackUninstall$
digest.dll C:\Windows\ServicePackFiles\i386
wdigest.dll C:\Windows\ServicePackFiles\i386

msnsspc.dll gefunden in C:\Windows\system32
C:\Windows\$NtServicePackUninstall$
C:\Windows\ServicePackFiles\i386

vtUmMgHY.dll gefunden in C:\Dokumente und Einstellungen\Jeff\Eigene Dateien\pinfect.zip

winwim32.dll gefunden in C:\Dokumente und Einstellungen\Jeff\Eigene Dateien\pinfect.zip

winwim32.dll.73019338 gefunden in C:\Windows\system32

Mensch, langsam fängts an Spaß zu machen ;-)

Geändert von Jeff77 (20.05.2008 um 18:13 Uhr)

Alt 20.05.2008, 18:24   #23
undoreal
/// AVZ-Toolkit Guru
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Ist das Avenger log vollständig?

Das ist etwas komisch daher nochmal das ganze im abgesicherten:
So wird der abgesicherte Modus am einfachsten aufgerufen -> KLICK MICH

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")


Code:
ATTFilter
Files to delete:
C:\Dokumente und Einstellungen\Jeff\Eigene Dateien\pinfect.zip
C:\WINDOWS\ieuu.exe
C:\DOKUME~1\Jeff\LOKALE~1\Temp\7.tmp.exe

Folders to delete:
C:\Programme\BitTorren
C:\Programme\BitComet
C:\PROGRA~1\BEARSH~1
C:\PROGRA~1\YAHOO!
C:\WINDOWS\system32\systems.txt
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.



Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\Windows\system32\schanell.dll
C:\Windows\system32\digest.dll
C:\Windows\system32\wdigest.dll
C:\Windows\system32\msnsspc.dll
C:\Windows\system32\winwim32.dll
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 20.05.2008, 18:28   #24
Jeff77
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



So und zum guten Schluß
hab ich CCleaner ausgeführt (Reg mehrmals bis keine Fehler mehr auftauchten)
Und hier poste ich HJT Log und iclean-Log
Ich bin gespannt wie es weiter geht

Alt 20.05.2008, 19:08   #25
Jeff77
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Sorry, nochmal das Log von Avenger
Hatte ihn vorher nicht im abgesicherten Modus laufen lassen.

Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\Jeff\Eigene Dateien\pinfect.zip" deleted successfully.

Error: file "C:\WINDOWS\ieuu.exe" not found!
Deletion of file "C:\WINDOWS\ieuu.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\DOKUME~1\Jeff\LOKALE~1\Temp\7.tmp.exe" not found!
Deletion of file "C:\DOKUME~1\Jeff\LOKALE~1\Temp\7.tmp.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\Programme\BitTorren" not found!
Deletion of folder "C:\Programme\BitTorren" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\Programme\BitComet" not found!
Deletion of folder "C:\Programme\BitComet" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\PROGRA~1\BEARSH~1" not found!
Deletion of folder "C:\PROGRA~1\BEARSH~1" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\PROGRA~1\YAHOO!" not found!
Deletion of folder "C:\PROGRA~1\YAHOO!" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "C:\WINDOWS\system32\systems.txt" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Und hier der iclean log:

Zitat:
iclean log 20.05.2008 19:34:02

Windows XP SP2, Using advanced Kernel functions

Processes
---------
500 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
776 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
800 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
844 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
880 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
1024 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1080 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1224 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1304 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1572 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1980 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
2024 - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe - Logitech LVPrcSrv Module. (Signed)
912 - C:\Programme\AntiVir PersonalEdition Classic\sched.exe - Antivirus Scheduler
1168 - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe - Antivirus On-Access Service
1212 - GOOGLEUPDATERSE - GOOGLEUPDATERSE
1340 - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE - Norton Protection Status
1404 - C:\WINDOWS\System32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 53.03
1440 - C:\WINDOWS\system32\HPZipm12.exe - PML Driver
1508 - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE - NOPDB
1568 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1604 - C:\WINDOWS\system32\wdfmgr.exe - Windows User Mode Driver Manager
968 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
2660 - GHOSTSTARTTRAYA - GHOSTSTARTTRAYA
2672 - C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe - Antivirus System Tray Tool
2684 - C:\Programme\FreePDF_XP\fpassist.exe - FreePDF Assistent für FreePDF3
2696 - C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe - Adobe Photo Downloader 3.0 component (Signed)
2740 - SPAMIHILATOR.EX - SPAMIHILATOR.EX
2772 - COMMUNICATIONS_ - COMMUNICATIONS_
2792 - C:\Programme\Logitech\QuickCam10\QuickCam10.exe - C:\Programme\Logitech\QuickCam10\QuickCam10.exe (Signed)
2836 - C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe - LVCom Server (Signed)
2868 - C:\Programme\HP\HP Software Update\HPWuSchd2.exe - Hewlett-Packard Product Assistant
2948 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
2964 - LOGITECHDESKTOP - LOGITECHDESKTOP
2996 - SUPERANTISPYWAR - SUPERANTISPYWAR
2548 - C:\WINDOWS\system32\wscntfy.exe - Windows Security Center Notification App
2248 - C:\Programme\OnlineControl\ocontrol.exe - C:\Programme\OnlineControl\ocontrol.exe
2040 - C:\Programme\DT\Sinus 154 stick\Wifiusb.exe - Wireless LAN Configuration Utility
2760 - C:\WINDOWS\System32\wbem\wmiprvse.exe - WMI
3024 - C:\Programme\Logitech\QuickCam10\COCIManager.exe - Logitech Camera Control Interface (Signed)
3624 - C:\WINDOWS\system32\wuauclt.exe - Windows Update Automatic Updates (Signed)
1244 - C:\WINDOWS\explorer.exe - Windows Explorer
6620 - C:\Programme\CCleaner\CCleaner.exe - CCleaner (Signed)
7332 - C:\Programme\Mozilla Firefox\firefox.exe - Firefox (Signed)
6276 - C:\WINDOWS\System32\wbem\wmiprvse.exe - WMI
7784 - C:\Dokumente und Einstellungen\Jeff\Desktop\iclean.exe - Interactive Cleaner

Services
--------
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\antivir personaledition classic\sched.exe=AntiVirScheduler
c:\programme\antivir personaledition classic\avguard.exe=AntiVirService
C:\WINDOWS\system32\svchost.exe=AudioSrv
C:\WINDOWS\system32\svchost.exe=BITS
C:\WINDOWS\system32\svchost.exe=Browser
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=dmserver
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
c:\programme\google\common\google updater\googleupdaterservice.exe=gusvc
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=Irmon
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
c:\programme\gemeinsame dateien\logitech\lvmvfm\lvprcsrv.exe=LVPrcSrv
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
c:\progra~1\norton~1\norton~2\nprotect.exe=NProtectService
C:\WINDOWS\system32\nvsvc32.exe=NVSvc
C:\WINDOWS\system32\svchost.exe=NWCWorkstation
C:\WINDOWS\system32\services.exe=PlugPlay
c:\windows\system32\hpzipm12.exe=Pml Driver HPZ12
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasAuto
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RemoteRegistry
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
c:\progra~1\norton~1\norton~2\speedd~1\nopdb.exe=Speed Disk service
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
c:\windows\system32\wdfmgr.exe=UMWdf
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv

Registry
--------
000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe
000=HKCU\Run: LDM=c:\programme\logitech\desktop messenger\8876480\program\logitechdesktopmessenger.exe
000=HKCU\Run: SUPERAntiSpyware=c:\programme\superantispyware\superantispyware.exe
000=HKLM\Run: Adobe Photo Downloader="c:\programme\adobe\photoshop elements 5.0\apdproxy.exe"
000=HKLM\Run: Adobe Reader Speed Launcher="c:\programme\adobe\reader 8.0\reader\reader_sl.exe"
000=HKLM\Run: avgnt="c:\programme\antivir personaledition classic\avgnt.exe" /min
000=HKLM\Run: FreePDF Assistant=c:\programme\freepdf_xp\fpassist.exe
000=HKLM\Run: GhostStartTrayApp=c:\programme\norton systemworks\norton ghost\ghoststarttrayapp.exe
000=HKLM\Run: HP Software Update=c:\programme\hp\hp software update\hpwuschd2.exe
000=HKLM\Run: LogitechCommunicationsManager="c:\programme\gemeinsame dateien\logitech\lcommgr\communications_helper.exe"
000=HKLM\Run: LogitechQuickCamRibbon="c:\programme\logitech\quickcam10\quickcam10.exe" /hide
000=HKLM\Run: LVCOMSX="c:\programme\gemeinsame dateien\logitech\lcommgr\lvcomsx.exe"
000=HKLM\Run: NeroFilterCheck=c:\windows\system32\nerocheck.exe
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe
000=HKLM\Run: Spamihilator="c:\programme\spamihilator\spamihilator.exe"
010=Kazaa entry found
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: UPnPMonitor=c:\windows\system32\upnpui.dll
020=SSODL: WebCheck=C:\WINDOWS\system32\webcheck.dll
030=BHO: {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}=(null) ()
030=BHO: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=c:\programme\google\googletoolbarnotifier\2.1.1119.1736\swg.dll (Google Toolbar Notifier BHO)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F}=(null)
031=Toolbar: {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}=(null)

...

Startup Folders
---------------
Common: desktop.ini
Common: microsoft office.lnk -> C:\PROGRA~1\MICROS~2\Office10\OSA.EXE
Common: onlinecontrol.lnk -> C:\PROGRA~1\ONLINE~3\ocontrol.exe
Common: sinus 154 stick wlan manager.lnk -> C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
Common: logitech desktop messenger.lnk -> C:\PROGRA~1\Logitech\DESKTO~1\8876480\Program\LOGITE~1.EXE
Personal: desktop.ini

HOSTS
-----
# Copyright © 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a "#" symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
#
127.0.0.1 localhost

Alt 20.05.2008, 21:24   #26
undoreal
/// AVZ-Toolkit Guru
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Zitat:
Hatte ihn vorher nicht im abgesicherten Modus laufen lassen.
Da hast du auch nichts falsch gemacht das hatte ich nämlich garnicht gesagt..

Deinstalliere bitte Norton. Zwei AV-Progs auf einem Rechner behindern sich gegenseitig. Lasse danach das removal Tool laufen.
Deaktiviere ebenfalls den SUPERAntiSpyware Wächter. Das Programm ist zum scannen einsame Spitze aber die Wächter dieser Progs bringen garnichts..


Dann wechsel wieder in den abgesicherten Modus.

Dort fixe folgende Einträge:
Zitat:
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [lx46ZLFqmv] C:\WINDOWS\system32\winver.exe
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.1.11.30.dll/206 (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O15 - Trusted IP range: 206.161.125.149
O16 - DPF: {ABAB45AD-4D69-4C01-A4A4-DD105F1EAE61} (mgToolbarPub.Toolbar) - http://citymap.nanaimo.ca/activeX/Toolbars.cab
O20 - Winlogon Notify: vtummghy - vtUmMgHY.dll (file missing)
O20 - Winlogon Notify: winwim32 - winwim32.dll (file missing)
O23 - Service: RA Server (Slave) - Unknown owner - C:\WINDOWS\Slave.exe (file missing)
O23 - Service: Workstation NetLogon Service (%AF夶À¨) - Unknown owner - C:\WINDOWS\system32\iexd32.exe (file missing)
Immernoch im abgesicherten entfernen wir die schädlichen Dateien:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")


Code:
ATTFilter
Files to delete:
C:\WINDOWS\system32\winver.exe
C:\WINDOWS\Slave.exe
C:\WINDOWS\system32\iexd32.exe
         
Folgende Dateien bitte suchen und ebenfalls den kompletten Dateipfad unter Files to delete eintragen:
Zitat:
vtUmMgHY.dll
winwim32.dll

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!
Im normalen Modus.


5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Poste bitte auch ein frisches HJT log.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 21.05.2008, 07:30   #27
Jeff77
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Zitat:
Zitat von undoreal Beitrag anzeigen
Deinstalliere bitte Norton. Zwei AV-Progs auf einem Rechner behindern sich gegenseitig.
Norton? Hab ich eigendlich garnicht (mehr)... Vielleicht ist das noch ein Überbleibsel der Deinstallation? Bei mir läuft nur Avira AntiVir.
Hm, ich werd heut abend mal sehen wo ich Norton finde...

Habe eine email von t-online bekommen. Die haben in durch Nachverfolgung der IP in Erfahrung gebracht, das ich SPAM versende...
Wird Zeit das der Rechner sauber wird...

Wie findet Ihr AntiVir im allgemeinen? Ist das ok? Oder soll ich auf ein anderes AV Prog umschwenken?

Alt 21.05.2008, 10:44   #28
undoreal
/// AVZ-Toolkit Guru
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Lasse bitte unbedingt das Remooval Tool laufen und führe die Schritte durh die ich dir genannt habe. Postwe danach ein frisches HijackThis log. Das Avenger log sowie einen frischen iClean Bericht. Wenn die Einträge dann nciht verschwunden sind sitzt der Schädling dort.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 21.05.2008, 13:29   #29
Jeff77
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Zitat:
Zitat von undoreal Beitrag anzeigen
Dann wechsel wieder in den abgesicherten Modus.

Dort fixe folgende Einträge:
Erkläre bitte einem blinden mit was ich fixen soll...

Alt 21.05.2008, 13:37   #30
myrtille
/// TB-Ausbilder
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Hi
Fixen
  • Hijackthis aufrufen
  • Do a system scan only anklicken
  • Haken vor die zu fixenden Einträge setzen
  • Unten auf Fix checked klicken

Fertig.

Steht auch in der Hijackthisanleitung unter Einträge fixen.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Antwort

Themen zu escan erstellt - Hier das Ergebnis
acroiehelper.dll, adware, antivir, antivirus, avp, backdoor, browser, c:\windows\temp, content.ie5, controlset002, dateisystem, desktop, drivers, einstellungen, fehlalarm, fehler, firefox, helper, internet, internet explorer, logon.exe, maßnahme, mozilla, mozilla firefox, prozesse, quara, registrierungsdatenbank, security, software, spyware, start menu, system, trojan.win32.monder.gen, virus, windows, windows xp, windows\system32\drivers, windows\temp, winupdate.exe




Ähnliche Themen: escan erstellt - Hier das Ergebnis


  1. BDS/Papras.OU - Hier Malwarebytes-Ergebnis
    Mülltonne - 08.09.2010 (1)
  2. Ständig POP UPS , eScan File gemacht und hier drin ! Danke
    Plagegeister aller Art und deren Bekämpfung - 23.08.2008 (3)
  3. hab hier eine Hijackthis erstellt und leider blicke ich da nicht durch.
    Log-Analyse und Auswertung - 08.05.2008 (20)
  4. Escan Erstellt Ordnern
    Antiviren-, Firewall- und andere Schutzprogramme - 27.01.2008 (4)
  5. BDS Agent cyk/cyp! Hier das hijack & escan...
    Log-Analyse und Auswertung - 11.12.2007 (1)
  6. Ergebnis Escan. Schlimm, oder eher harmlos?
    Log-Analyse und Auswertung - 17.03.2006 (22)
  7. HILFE! Beunruhigendes Escan Ergebnis
    Plagegeister aller Art und deren Bekämpfung - 25.01.2006 (1)
  8. Ergebnis eScan
    Plagegeister aller Art und deren Bekämpfung - 07.09.2005 (1)
  9. Ergebnis von eScan
    Plagegeister aller Art und deren Bekämpfung - 25.07.2005 (1)
  10. 18 Viren....Hilfe...hier mein ESCAN Treffer.....
    Plagegeister aller Art und deren Bekämpfung - 19.07.2005 (20)
  11. was sollte mir das escan ergebnis sagen ?
    Plagegeister aller Art und deren Bekämpfung - 26.06.2005 (8)
  12. eScan-Ergebnis
    Plagegeister aller Art und deren Bekämpfung - 13.06.2005 (24)
  13. hallo saint hier is mein escan log
    Log-Analyse und Auswertung - 24.05.2005 (1)
  14. eScan-Ergebnis mit "HauisTool"
    Antiviren-, Firewall- und andere Schutzprogramme - 10.05.2005 (6)
  15. Ergebnis Von Escan Und Hijack Wie Weiter?
    Plagegeister aller Art und deren Bekämpfung - 16.02.2005 (11)
  16. Bitte um Hilfe mit escan Ergebnis
    Plagegeister aller Art und deren Bekämpfung - 11.11.2004 (1)

Zum Thema escan erstellt - Hier das Ergebnis - Hi, vielen Dank erstmal für die Anleitung. Bis Punkt 4 ist alles Erledigt. Bei Punkt 5 (SmitFraudFix) hakts jedoch: Ich mache alles wie beschrieben, erst Pkt.1-Enter- dann hab ich den - escan erstellt - Hier das Ergebnis...
Archiv
Du betrachtest: escan erstellt - Hier das Ergebnis auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.