|
Plagegeister aller Art und deren Bekämpfung: Hartnäckige VirensammlungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
16.05.2008, 19:37 | #1 |
| Hartnäckige Virensammlung Guten Abend, bin ja neu hier und hoffe, dass alles richtig aufgeführt ist. Gestern Abend habe ich Teile meines Druckerprogramms deinstalliert. Heute morgen bekam ich bei der Überprüfung durch mein Virenprogramm (AVG 8.0) plötzlich 541 Warnmeldungen. Nach einem Update des Programm waren noch 216 Meldungen vorhanden. Die habe ich dann in die Quarantäne geschickt, damit ich eine Sicherung machen konnte. Dann habe ich alles neu installiert. Wieder habe ich nur einen Teil des Druckers installiert, der über USB angeschlossen ist. Nachdem der Rechner fertig war, machte ich zum Abschluss wieder eine Virenprüfung. Diesmal waren es 465 Warnungen. Daraufhin habe ich vorsichtshalber die zweite Partition des Rechners gelöscht. Ich habe mal ein paar Meldungen angehängt. Einige Teilinformationen habe ich schon gefunden. Das es auch heuristische Möglichkeiten gibt, ist mir bekannt. Wie kann ich diese dauerhaft loswerden? Müsste ich jetzt noch einmal, nach dem ich die zweite Partition gelöscht habe, alles neu installieren? Hinter dem Auszug aus den Meldungen habe ich noch ein Logfile von HijackThis angehängt. Mit Stinger habe ich den PC online schon einmal gescannt. Der Scan war ohne Ergebnis. HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{dea859d7-abb8-4239-b454-6731f4891560};"Adware.RogueSuspect gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{e0103cd4-d1ce-411a-b75b-4fec072867f4};"Trojan.Puper.ac gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E1412445-4FF8-410e-8D24-F2CF86B171A4};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E14DCE67-8FB7-4721-8149-179BAA4D792C};"Trojan.Ciadoor.m gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E2B2B5A1-B48C-4886-A318-723916A01024};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E2DDF680-9905-4dee-8C64-0A5DE7FE133C};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E3EEBBE8-9CAB-4C76-B26A-747E25EBB4C6};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E4703CF2-7F82-4AD7-B317-8EC1CBC9B619};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E694E3DC-723F-40C7-87FE-6FFC222AD122};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E6B4AB50-F423-4EE6-9839-B35DCFCDFA49};"Adware.RogueSuspect gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E6D5237D-A6C7-4C83-A67F-F9F15586FA62};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E730189A-9973-4121-B046-AD1C161EC3AF};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E7AFFF2A-1B57-49C7-BF6B-E5123394C970};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E8EDB60C-951E-4130-93DC-FAF1AD25F8E7};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E9817993-83FF-4343-B14E-6CDFB378B21D};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E99D4D0C-EB54-46AF-B62A-3AA1F31D53E5};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E9CCF15D-4C68-4B5A-9E9A-8E12E4BD39BD};"Hijacker.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EA038DDD-0FE0-41f5-BA60-FC3660529E71};"Adware.Ad-Protect gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EA0D26BD-9029-431A-86E0-83152D67828A};"Adware.180Solutions gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D};"Adware.Virtumonde gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EA806E03-A6B1-205A-117C-013309406392};"Trojan.Singu.s gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{eac1accd-7790-4991-a9d2-550806d6d9c3};"Adware.AntiVermins gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EB1CE8AA-7F27-45D3-BA59-37AFBFB4437F};"Adware.Vundo gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EC83B900-B33A-D316-EF7D-013309406392};"Trojan.Stoped.b gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EDBF1BC8-39AB-48EB-A0A9-C75078EB7C8E};"Adware.SpyAxe gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EDE2A2B4-B1CB-4BF8-93D1-154E49284A71};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EE02B99B-1D55-48bc-B8DB-649A42CE45F6};"Adware.CreatrixMedia gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ef2aa606-b72e-4a1b-b076-8b148661f3b7};"Adware.AntiVermins gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F007E221-018D-4baf-924A-B0E9092F3853};"Adware.CreatrixMedia gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F1FABE79-25FC-46de-8C5A-2C6DB9D64333};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F22ABCC8-DA46-6EFF-B0D2-2B1D0647AB7A};"Adware.CoolWebSearch gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F43BD772-ABDD-43b7-A96A-3E9E61946EC0};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F452FA15-98C9-BD51-AC62-418E0C391EC0};"Adware.CoolWebSearch gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F5D23930-23C6-440E-AB55-D019E1171539};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F5DE8ADB-4A69-4e56-96AB-823171C8E9D8};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F5F0086E-C12D-DA23-939A-802FE220ADD3};"Adware.CoolWebSearch gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F6053709-5723-454E-AB9D-7FC7E681AFA5};"Adware.CoolWebSearch gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f65b197f-8260-4d52-909a-f70118e646eb};"Adware.MWSearch gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F68D4ACF-5F32-4D00-A9D9-62D849AE0451};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F74B358E-6979-40a9-96CD-636C80B87AFF};"Trojan.BankAsh.g gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F7D40011-29BB-43EB-9C97-875CE89E9E36};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f9476885-40eb-4405-878a-193baf18ce9b};"Adware.AntiVermins gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FA1A6CC3-BE63-4f7c-A455-417D35A67DA6};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FBD49452-69E0-4837-91FA-9227A6DD1A83};"Adware.Vundo gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FC148228-87E1-4D00-AC06-58DCAA52A4D1};"Adware.Virtumonde gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FCBEFCA2-4337-C522-B757-2FED10040650};"Adware.CoolWebSearch gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{fcf0a3dd-9231-4625-84c6-4810bbe5f54b};"Adware.RogueSuspect gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FD9BC004-8331-4457-B830-4759FF704C22};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FDC47F1A-61E1-4AC5-89CA-6B95644953AE};"Adware.Virtumonde gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FE6A3E85-0F6C-49AD-8843-68FF44E7EEA9};"Adware.SecureServicePack gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FEF0E647-5524-FA9E-07CF-AF79EE6770A0};"Adware.CoolWebSearch gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FFD2825E-0785-40C5-9A41-518F53A8261F};"Adware.TitanShieldAntispyware gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA};"Trojan.Zapchast gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF};"Adware.Generic gefunden";"In Virenquarantäne verschoben" HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666};"Adware.Generic gefunden";"In Virenquarantäne verschoben" Nach dem Löschen der zweiten Partition konnte ich jetzt die aktuelle Version von HijackThis runterladen können und habe einen Scan durchgeführt. Logfile ist anbei. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:07:32, on 16.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\VTtrayp.exe C:\Programme\VIAudioi\SBADeck\ADeck.exe C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\Programme\Lexmark 2300 Series\lxcgmon.exe C:\Programme\Lexmark 2300 Series\ezprint.exe C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\Ashampoo\ASHAMP~1\AMO_TA~1.EXE C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\PROGRA~1\AVG\AVG8\avgfws8.exe C:\Programme\Spyware Terminator\sp_rsser.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\AVG\AVG8\avgam.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\PROGRA~1\AVG\AVG8\avgnsx.exe C:\PROGRA~1\AVG\AVG8\avgemc.exe C:\WINDOWS\system32\lxcgcoms.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AVG\AVG8\aAvgApi.exe C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll O3 - Toolbar: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Programme\Lexmark 2300 Series\lxcgmon.exe" O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 2300 Series\ezprint.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Ashampoo Magical Optimizer Taskplaner] "C:\PROGRA~1\Ashampoo\ASHAMP~1\AMO_TA~1.EXE" -TRAY O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Crawler Search - tbr:iemenu O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll O20 - AppInit_DLLs: avgrsstx.dll O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: AVG8 Firewall (avgfws8) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgfws8.exe O23 - Service: lxcg_device - - C:\WINDOWS\system32\lxcgcoms.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe -- End of file - 5676 bytes Für den oder anderen Hinweis wäre ich dankbar. Ich bin gespannt. Danke im voraus. Marina |
16.05.2008, 21:22 | #2 | |
/// AVZ-Toolkit Guru | Hartnäckige Virensammlung Halli hallo Marina.
__________________Deinstalliere bitte die cToolbar/Crawler Toolbar Zitat:
Räume danach mit cCleaner auf. Die Registry (blaue Klötze auf der linken Seite im Programm) musst du mehrmals durchsuchen und bereinigen lassen. (steht nicht in der Anleitung) Poste danach bitte ein frisches HJT log.
__________________ |
16.05.2008, 21:29 | #3 |
| Hartnäckige Virensammlung Guten Abend,
__________________danke für den Hinweis. Werde mich ein bisschen heute abend und dann morgen früh drum kümmern. Melde mich dann mit dem Ergebnis. Marina |
16.05.2008, 21:44 | #4 |
| Hartnäckige Virensammlung Hallo, das ging schneller als ich dachte. Die Toolbar habe ich deinstalliert. Und danach mit CCleaner die Registry aufgeräumt. Ich habe vier Durchgänge gemacht. Jetzt bekomme ich hier auch die korrekte Uhrzeit angezeigt. Vorher stand es noch auf Sommerzeit. Hier noch ein frisches HJT-Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:40:10, on 16.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\VTtrayp.exe C:\Programme\VIAudioi\SBADeck\ADeck.exe C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\Programme\Lexmark 2300 Series\lxcgmon.exe C:\Programme\Lexmark 2300 Series\ezprint.exe C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\Ashampoo\ASHAMP~1\AMO_TA~1.EXE C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\PROGRA~1\AVG\AVG8\avgfws8.exe C:\Programme\Spyware Terminator\sp_rsser.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\AVG\AVG8\avgam.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\PROGRA~1\AVG\AVG8\avgnsx.exe C:\PROGRA~1\AVG\AVG8\avgemc.exe C:\WINDOWS\system32\lxcgcoms.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AVG\AVG8\aAvgApi.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll O3 - Toolbar: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Programme\Lexmark 2300 Series\lxcgmon.exe" O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 2300 Series\ezprint.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Ashampoo Magical Optimizer Taskplaner] "C:\PROGRA~1\Ashampoo\ASHAMP~1\AMO_TA~1.EXE" -TRAY O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll O20 - AppInit_DLLs: avgrsstx.dll O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: AVG8 Firewall (avgfws8) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgfws8.exe O23 - Service: lxcg_device - - C:\WINDOWS\system32\lxcgcoms.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe -- End of file - 5213 bytes Für den ersten Erfolg schon einmal danke. Marina |
16.05.2008, 21:53 | #5 |
/// AVZ-Toolkit Guru | Hartnäckige Virensammlung Super. Dann deinstalliere bitte auf gleichem Wege den SpywareTerminator und räume wieder mit CCleaner auf. Danach führe einen Scan mit SUPERAntiSpyware und Anti-Malware durch. Anleitung gibt es in meiner Sigantur.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
16.05.2008, 22:33 | #6 |
| Hartnäckige Virensammlung Hallo, den ersten Teil habe ich ausgeführt. Nur dauert ja der Scan mit Antimalware länger. Daher mache ich morgen weiter. Erst mal danke für die Hilfe. Melde mich dan morgen. Gute Nacht Marina |
17.05.2008, 11:07 | #7 |
| Hartnäckige Virensammlung Hallo, die beiden Scans habe ich durchgeführt. Beide waren ohne Ergebnis. Vom Antimalware sende ich hier das logfile: Malwarebytes' Anti-Malware 1.12 Datenbank Version: 756 Scan Art: Komplett Scan (C:\|I:\|) Objekte gescannt: 64075 Scan Dauer: 18 minute(s), 14 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) Während dieses Scans bekam ich allerdings zweimal die Meldung, dass ein Trojaner gefunden wurde: Downloader.Generic7.IBV. Dieser war unter Systeme Volume Information versteckt und wurde beim Scan vom Virenprogramm heute morgen nicht entdeckt. Danke im voraus. Marina |
17.05.2008, 11:09 | #8 |
/// AVZ-Toolkit Guru | Hartnäckige Virensammlung Gut. Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden. Starte den Rechner neu und führe einen escan durch: MWAV Poste das log!
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
17.05.2008, 11:46 | #9 |
| Hartnäckige Virensammlung Tja, ich bekomme das Programm einfach nicht mit in den abgesicherten Modus. Hab zweimal den Start in den abgesicherten Modus durchgeführt. Es ist erscheint dort nicht. Was kann ich denn tun? Danke. |
17.05.2008, 11:50 | #10 | |
/// AVZ-Toolkit Guru | Hartnäckige VirensammlungZitat:
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
17.05.2008, 11:54 | #11 |
| Hartnäckige Virensammlung Also ich habe zuerst die Systemwiederherstellung deaktiviert. Dann habe ich beide Dateien runtergeladen und bin dann in den abgesicherten Modus gewechselt. Da ich die Dateien auf dem Desktop gespeichert habe, müßten diese doch dort erscheinen oder habe ich jetzt da was falsch gemacht. Dann bitte einen Hinweis..... |
17.05.2008, 11:57 | #12 |
/// AVZ-Toolkit Guru | Hartnäckige Virensammlung Du findest di Dateien in C:\Dokumente und Einstellunge\*dein Benutzername*\Desktop. Sollten sie dort nicht zu finden sein lade sie bitte erneut runter. Speichere die Dateien dann bitte unter C:\eScan\MWAV ab. (Die Ordner musst du erstellen.)
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
17.05.2008, 12:01 | #13 |
| Hartnäckige Virensammlung Okay, danke für den Hinweis. Probiere ich am Nachmittag aus und melde mich dann. Gruß Marina |
17.05.2008, 17:25 | #14 |
| Hartnäckige Virensammlung Hallo, dies ist ein Test, da ich den ersten Teil nicht gepostet bekomme. Da ist ein Logfile mit über 570000 Zeichen herausgekommen. Ein paar Zeilen kopiere ich hier schon mal rein: [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit] |
17.05.2008, 17:26 | #15 |
| Hartnäckige Virensammlung Fortsetzung: ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Spyware (Vorsicht: Oft Fehlalarm!) ~~~~~~~~~~~ Scannen Spyware: Deaktiviert ** {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} = C:\Programme\SUPERAntiSpyware\SASSEH.DLL ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ laufende Prozesse - commandline ~~~~~~~~~~~~~~~~~~~~~~ System Idle Process - System - smss.exe - \SystemRoot\System32\smss.exe csrss.exe - winlogon.exe - winlogon.exe services.exe - C:\WINDOWS\system32\services.exe lsass.exe - C:\WINDOWS\system32\lsass.exe svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch svchost.exe - svchost.exe - C:\WINDOWS\system32\svchost.exe -k netsvcs svchost.exe - svchost.exe - explorer.exe - C:\WINDOWS\Explorer.EXE mexe.com - "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mexe.com" ScanningProcess.exe - iexplore.exe - "C:\Programme\Internet Explorer\iexplore.exe" ctfmon.exe - ctfmon.exe cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\charly\Eigene Dateien\find.bat" " cscript.exe - cscript C:\escan\prclst.vbs //nologo wmiprvse.exe - ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\NTUSER.DAT ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\NTUSER~1.LOG ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\MICROS~1\DRWATS~1\user.dmp ERROR!!! ScanFile fails for C:\DOKUME~1\charly\Desktop\DIVERS~1\AVG_IS~1.EXE ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER.DAT ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER~1.LOG ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER.DAT ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER~1.LOG ERROR!!! ScanFile fails for C:\pagefile.sys ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~4\Office\1031\ACMAIN9.CHM ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~4\Office\1031\XLMAIN9.CHM ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~4\Office10\1031\VBAWD10.CHM ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~3\WKSv7std.sbs ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~3\WKSv7std.sbt ERROR!!! ScanFile fails for C:\WINDOWS\DRIVER~1\i386\driver.cab ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG ERROR!!! ScanFile fails for I:\WINDOWS\DRIVER~1\i386\driver.cab |
Themen zu Hartnäckige Virensammlung |
adobe, adware.180solutions, adware.virtumonde, appinit_dlls, avg, bho, drivers, e-mail, explorer, firewall, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, loswerden, löschen, microsoft, neu, pdf, programme, quara, rundll, rundll32, software, spyware terminator, system, usb, virenquarantäne, virensammlung, windows, windows xp |