escan erstellt - Hier das Ergebnis

Jeff77 · 18.05.2008, 19:37

Hi,
vielen Dank erstmal für die Anleitung.
Bis Punkt 4 ist alles Erledigt.
Bei Punkt 5 (SmitFraudFix) hakts jedoch:
Ich mache alles wie beschrieben, erst Pkt.1-Enter- dann hab ich den Rapport.
Rechner im abgesicherten Modus starten- SmitFraud starten- Pkt.2-Enter.
Dann fängt er an mit "Killing". Plötzlich geht ein Fenster auf "Datenbereinigung" der Fortschrittsbalken wandert schnell nach oben und dann... das wars... der Bildschirm bleibt schwarz bis auf den "Abgesicherter Modus"-Hinweis am Rand. Auch nach 20 Minuten warten ändert sich nichts. Leider muss ich dann mit dem Taskmanager ran und Windows neu starten
Was mach ich bitte falsch? Zwei mal probiert, zwei mal das gleiche...

undoreal · 18.05.2008, 21:28

Poste bitte den Rapport.

Jeff77 · 19.05.2008, 17:01

Hier die Logs von Blacklight und Silentrunners und der Rapport von SmitFraud

undoreal · 20.05.2008, 06:43

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code:

ATTFilter

Files to delete:
C:\WINDOWS\system32\systems.txt
C:\WINDOWS\ieuu.exe
C:\DOKUME~1\Jeff\LOKALE~1\Temp\7.tmp.exe



Folders to delete:
C:\Programme\BitTorren
C:\Programme\BitComet
C:\PROGRA~1\BEARSH~1
C:\PROGRA~1\YAHOO!

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

-Repariere bitte dein Host Datei: http://www.funkytoad.com/download/HostsXpert.zip

-Durchsuche deinen Rechner bitte wie in meiner Sigantur beschrieben wird nach folgenden Stichworten und poste was, wo gefunden wurde.

qoMCRlJc , msapsspc.dll , schannel.dll , digest.dll , msnsspc.dll , vtUmMgHY.dll , winwim32.dll

-Und führe natürlich die letzten Schritte der Anleitung von unten durch.

Jeff77 · 20.05.2008, 07:39

Danke undoreal,
SmitFraud soll ich dann weglassen, ja?

undoreal · 20.05.2008, 08:27

Jap. Das machen wir manuell.

Jeff77 · 20.05.2008, 17:37

weiter gehts:
Hier der Avenger Log:

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: "C:\WINDOWS\system32\systems.txt" is a folder, not a file!
Deletion of file "C:\WINDOWS\system32\systems.txt" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory

Error: file "C:\WINDOWS\ieuu.exe" not found!
Deletion of file "C:\WINDOWS\ieuu.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\DOKUME~1\Jeff\LOKALE~1\Temp\7.tmp.exe" not found!
Deletion of file "C:\DOKUME~1\Jeff\LOKALE~1\Temp\7.tmp.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "C:\Programme\BitTorren" not found!
Deletion of folder "C:\Programme\BitTorren" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

nächster Punkt Host-Datei repariert (glaub ich...)

Dateien suchen:

qoMCRlJc gefunden in C:\Dokumente und Einstellungen\Jeff\Eigene Dateien\pinfect.zip

msapsspc.dll gefunden in C:\Windows\System32
C:\Windows\$NtServicePackUninstall$
C:\Windows\ServicePackFiles\i386

schanell.dll gefunden in C:\Windows\system32
C:\Windows\$NtServicePackUninstall$
C:\Windows\$NtUninstallKB835732$
C:\Windows\$NtUninstallKB935840$
C:\Windows\system32\dllcache
C:\Windows\ServicePackFiles\i386
C:\Windows\$xpsp1hfm$\KB835732
C:\Windows\$hf_mig$\KB935840\SP2QFE

digest.dll gefunden in C:\Windows\system32
wdigest.dll C:\Windows\system32
digest.dll C:\Windows\$NtServicePackUninstall$
wdigest.dll C:\Windows\$NtServicePackUninstall$
digest.dll C:\Windows\ServicePackFiles\i386
wdigest.dll C:\Windows\ServicePackFiles\i386

msnsspc.dll gefunden in C:\Windows\system32
C:\Windows\$NtServicePackUninstall$
C:\Windows\ServicePackFiles\i386

vtUmMgHY.dll gefunden in C:\Dokumente und Einstellungen\Jeff\Eigene Dateien\pinfect.zip

winwim32.dll gefunden in C:\Dokumente und Einstellungen\Jeff\Eigene Dateien\pinfect.zip

winwim32.dll.73019338 gefunden in C:\Windows\system32

Mensch, langsam fängts an Spaß zu machen ;-)

undoreal · 20.05.2008, 18:24

Ist das Avenger log vollständig?

Das ist etwas komisch daher nochmal das ganze im abgesicherten:
So wird der abgesicherte Modus am einfachsten aufgerufen -> KLICK MICH

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code:

ATTFilter

Files to delete:
C:\Dokumente und Einstellungen\Jeff\Eigene Dateien\pinfect.zip
C:\WINDOWS\ieuu.exe
C:\DOKUME~1\Jeff\LOKALE~1\Temp\7.tmp.exe

Folders to delete:
C:\Programme\BitTorren
C:\Programme\BitComet
C:\PROGRA~1\BEARSH~1
C:\PROGRA~1\YAHOO!
C:\WINDOWS\system32\systems.txt

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\Windows\system32\schanell.dll
C:\Windows\system32\digest.dll
C:\Windows\system32\wdigest.dll
C:\Windows\system32\msnsspc.dll
C:\Windows\system32\winwim32.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Jeff77 · 20.05.2008, 18:28

So und zum guten Schluß
hab ich CCleaner ausgeführt (Reg mehrmals bis keine Fehler mehr auftauchten)
Und hier poste ich HJT Log und iclean-Log
Ich bin gespannt wie es weiter geht

Jeff77 · 20.05.2008, 19:08

Sorry, nochmal das Log von Avenger
Hatte ihn vorher nicht im abgesicherten Modus laufen lassen.

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\Jeff\Eigene Dateien\pinfect.zip" deleted successfully.

Error: file "C:\WINDOWS\ieuu.exe" not found!
Deletion of file "C:\WINDOWS\ieuu.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\DOKUME~1\Jeff\LOKALE~1\Temp\7.tmp.exe" not found!
Deletion of file "C:\DOKUME~1\Jeff\LOKALE~1\Temp\7.tmp.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "C:\Programme\BitTorren" not found!
Deletion of folder "C:\Programme\BitTorren" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "C:\Programme\BitComet" not found!
Deletion of folder "C:\Programme\BitComet" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "C:\PROGRA~1\BEARSH~1" not found!
Deletion of folder "C:\PROGRA~1\BEARSH~1" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "C:\PROGRA~1\YAHOO!" not found!
Deletion of folder "C:\PROGRA~1\YAHOO!" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "C:\WINDOWS\system32\systems.txt" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Und hier der iclean log:

Zitat:

iclean log 20.05.2008 19:34:02

Windows XP SP2, Using advanced Kernel functions

Processes
---------
500 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
776 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
800 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
844 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
880 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
1024 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1080 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1224 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1304 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1572 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1980 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
2024 - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe - Logitech LVPrcSrv Module. (Signed)
912 - C:\Programme\AntiVir PersonalEdition Classic\sched.exe - Antivirus Scheduler
1168 - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe - Antivirus On-Access Service
1212 - GOOGLEUPDATERSE - GOOGLEUPDATERSE
1340 - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE - Norton Protection Status
1404 - C:\WINDOWS\System32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 53.03
1440 - C:\WINDOWS\system32\HPZipm12.exe - PML Driver
1508 - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE - NOPDB
1568 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1604 - C:\WINDOWS\system32\wdfmgr.exe - Windows User Mode Driver Manager
968 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
2660 - GHOSTSTARTTRAYA - GHOSTSTARTTRAYA
2672 - C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe - Antivirus System Tray Tool
2684 - C:\Programme\FreePDF_XP\fpassist.exe - FreePDF Assistent für FreePDF3
2696 - C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe - Adobe Photo Downloader 3.0 component (Signed)
2740 - SPAMIHILATOR.EX - SPAMIHILATOR.EX
2772 - COMMUNICATIONS_ - COMMUNICATIONS_
2792 - C:\Programme\Logitech\QuickCam10\QuickCam10.exe - C:\Programme\Logitech\QuickCam10\QuickCam10.exe (Signed)
2836 - C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe - LVCom Server (Signed)
2868 - C:\Programme\HP\HP Software Update\HPWuSchd2.exe - Hewlett-Packard Product Assistant
2948 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
2964 - LOGITECHDESKTOP - LOGITECHDESKTOP
2996 - SUPERANTISPYWAR - SUPERANTISPYWAR
2548 - C:\WINDOWS\system32\wscntfy.exe - Windows Security Center Notification App
2248 - C:\Programme\OnlineControl\ocontrol.exe - C:\Programme\OnlineControl\ocontrol.exe
2040 - C:\Programme\DT\Sinus 154 stick\Wifiusb.exe - Wireless LAN Configuration Utility
2760 - C:\WINDOWS\System32\wbem\wmiprvse.exe - WMI
3024 - C:\Programme\Logitech\QuickCam10\COCIManager.exe - Logitech Camera Control Interface (Signed)
3624 - C:\WINDOWS\system32\wuauclt.exe - Windows Update Automatic Updates (Signed)
1244 - C:\WINDOWS\explorer.exe - Windows Explorer
6620 - C:\Programme\CCleaner\CCleaner.exe - CCleaner (Signed)
7332 - C:\Programme\Mozilla Firefox\firefox.exe - Firefox (Signed)
6276 - C:\WINDOWS\System32\wbem\wmiprvse.exe - WMI
7784 - C:\Dokumente und Einstellungen\Jeff\Desktop\iclean.exe - Interactive Cleaner

Services
--------
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\antivir personaledition classic\sched.exe=AntiVirScheduler
c:\programme\antivir personaledition classic\avguard.exe=AntiVirService
C:\WINDOWS\system32\svchost.exe=AudioSrv
C:\WINDOWS\system32\svchost.exe=BITS
C:\WINDOWS\system32\svchost.exe=Browser
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=dmserver
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
c:\programme\google\common\google updater\googleupdaterservice.exe=gusvc
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=Irmon
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
c:\programme\gemeinsame dateien\logitech\lvmvfm\lvprcsrv.exe=LVPrcSrv
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
c:\progra~1\norton~1\norton~2\nprotect.exe=NProtectService
C:\WINDOWS\system32\nvsvc32.exe=NVSvc
C:\WINDOWS\system32\svchost.exe=NWCWorkstation
C:\WINDOWS\system32\services.exe=PlugPlay
c:\windows\system32\hpzipm12.exe=Pml Driver HPZ12
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasAuto
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RemoteRegistry
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
c:\progra~1\norton~1\norton~2\speedd~1\nopdb.exe=Speed Disk service
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
c:\windows\system32\wdfmgr.exe=UMWdf
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv

Registry
--------
000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe
000=HKCU\Run: LDM=c:\programme\logitech\desktop messenger\8876480\program\logitechdesktopmessenger.exe
000=HKCU\Run: SUPERAntiSpyware=c:\programme\superantispyware\superantispyware.exe
000=HKLM\Run: Adobe Photo Downloader="c:\programme\adobe\photoshop elements 5.0\apdproxy.exe"
000=HKLM\Run: Adobe Reader Speed Launcher="c:\programme\adobe\reader 8.0\reader\reader_sl.exe"
000=HKLM\Run: avgnt="c:\programme\antivir personaledition classic\avgnt.exe" /min
000=HKLM\Run: FreePDF Assistant=c:\programme\freepdf_xp\fpassist.exe
000=HKLM\Run: GhostStartTrayApp=c:\programme\norton systemworks\norton ghost\ghoststarttrayapp.exe
000=HKLM\Run: HP Software Update=c:\programme\hp\hp software update\hpwuschd2.exe
000=HKLM\Run: LogitechCommunicationsManager="c:\programme\gemeinsame dateien\logitech\lcommgr\communications_helper.exe"
000=HKLM\Run: LogitechQuickCamRibbon="c:\programme\logitech\quickcam10\quickcam10.exe" /hide
000=HKLM\Run: LVCOMSX="c:\programme\gemeinsame dateien\logitech\lcommgr\lvcomsx.exe"
000=HKLM\Run: NeroFilterCheck=c:\windows\system32\nerocheck.exe
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe
000=HKLM\Run: Spamihilator="c:\programme\spamihilator\spamihilator.exe"
010=Kazaa entry found
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: UPnPMonitor=c:\windows\system32\upnpui.dll
020=SSODL: WebCheck=C:\WINDOWS\system32\webcheck.dll
030=BHO: {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}=(null) ()
030=BHO: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=c:\programme\google\googletoolbarnotifier\2.1.1119.1736\swg.dll (Google Toolbar Notifier BHO)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F}=(null)
031=Toolbar: {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}=(null)

...

Startup Folders
---------------
Common: desktop.ini
Common: microsoft office.lnk -> C:\PROGRA~1\MICROS~2\Office10\OSA.EXE
Common: onlinecontrol.lnk -> C:\PROGRA~1\ONLINE~3\ocontrol.exe
Common: sinus 154 stick wlan manager.lnk -> C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
Common: logitech desktop messenger.lnk -> C:\PROGRA~1\Logitech\DESKTO~1\8876480\Program\LOGITE~1.EXE
Personal: desktop.ini

HOSTS
-----
# Copyright © 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a "#" symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
#
127.0.0.1 localhost

undoreal · 20.05.2008, 21:24

Zitat:

Hatte ihn vorher nicht im abgesicherten Modus laufen lassen.

Da hast du auch nichts falsch gemacht

das hatte ich nämlich garnicht gesagt..

Deinstalliere bitte Norton. Zwei AV-Progs auf einem Rechner behindern sich gegenseitig. Lasse danach das removal Tool laufen.
Deaktiviere ebenfalls den SUPERAntiSpyware Wächter. Das Programm ist zum scannen einsame Spitze aber die Wächter dieser Progs bringen garnichts..

Dann wechsel wieder in den abgesicherten Modus.

Dort fixe folgende Einträge:

Zitat:

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [lx46ZLFqmv] C:\WINDOWS\system32\winver.exe
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.1.11.30.dll/206 (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O15 - Trusted IP range: 206.161.125.149
O16 - DPF: {ABAB45AD-4D69-4C01-A4A4-DD105F1EAE61} (mgToolbarPub.Toolbar) - http://citymap.nanaimo.ca/activeX/Toolbars.cab
O20 - Winlogon Notify: vtummghy - vtUmMgHY.dll (file missing)
O20 - Winlogon Notify: winwim32 - winwim32.dll (file missing)
O23 - Service: RA Server (Slave) - Unknown owner - C:\WINDOWS\Slave.exe (file missing)
O23 - Service: Workstation NetLogon Service (%AFå¤¶À¨) - Unknown owner - C:\WINDOWS\system32\iexd32.exe (file missing)

Immernoch im abgesicherten entfernen wir die schädlichen Dateien:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code:

ATTFilter

Files to delete:
C:\WINDOWS\system32\winver.exe
C:\WINDOWS\Slave.exe
C:\WINDOWS\system32\iexd32.exe

Folgende Dateien bitte suchen und ebenfalls den kompletten Dateipfad unter Files to delete eintragen:

Zitat:

vtUmMgHY.dll
winwim32.dll

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!
Im normalen Modus.

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Poste bitte auch ein frisches HJT log.

Jeff77 · 21.05.2008, 07:30

Zitat:

Zitat von undoreal

Deinstalliere bitte Norton. Zwei AV-Progs auf einem Rechner behindern sich gegenseitig.

Norton? Hab ich eigendlich garnicht (mehr)... Vielleicht ist das noch ein Überbleibsel der Deinstallation? Bei mir läuft nur Avira AntiVir.
Hm, ich werd heut abend mal sehen wo ich Norton finde...

Habe eine email von t-online bekommen. Die haben in durch Nachverfolgung der IP in Erfahrung gebracht, das ich SPAM versende...
Wird Zeit das der Rechner sauber wird...

Wie findet Ihr AntiVir im allgemeinen? Ist das ok? Oder soll ich auf ein anderes AV Prog umschwenken?

undoreal · 21.05.2008, 10:44

Lasse bitte unbedingt das Remooval Tool laufen und führe die Schritte durh die ich dir genannt habe. Postwe danach ein frisches HijackThis log. Das Avenger log sowie einen frischen iClean Bericht. Wenn die Einträge dann nciht verschwunden sind sitzt der Schädling dort.

Jeff77 · 21.05.2008, 13:29

Zitat:

Zitat von undoreal

Dann wechsel wieder in den abgesicherten Modus.

Dort fixe folgende Einträge:

Erkläre bitte einem blinden mit was ich fixen soll...

myrtille · 21.05.2008, 13:37

Hi

Fixen

Hijackthis aufrufen
Do a system scan only anklicken
Haken vor die zu fixenden Einträge setzen
Unten auf Fix checked klicken

Fertig.

Steht auch in der Hijackthisanleitung unter Einträge fixen.

lg myrtille

18.05.2008, 21:28	#17
undoreal /// AVZ-Toolkit Guru	escan erstellt - Hier das Ergebnis Poste bitte den Rapport. __________________ __________________

20.05.2008, 08:27	#21
undoreal /// AVZ-Toolkit Guru	escan erstellt - Hier das Ergebnis Jap. Das machen wir manuell. __________________ --> escan erstellt - Hier das Ergebnis

escan erstellt - Hier das Ergebnis

Plagegeister aller Art und deren Bekämpfung: escan erstellt - Hier das Ergebnis