| |
| |||||||
Log-Analyse und Auswertung: Habe ein Problem und kann es leider nich lösenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
19.05.2008, 09:31
| #1 |
 |  Habe ein Problem und kann es leider nich lösen Seit Gestern macht unser Pc Faxen. Und unser Virusscanner schlägt auch aus, aber weiter bin ich nicht gekommen. Ich muss auch dazu sagen das mein Mann auf diversen Seiten gerne mal ist. Vieleicht könnt ihr mir dabei helfen, habe euch über Google gefunden als ich auf der Suche nach einer Antwort war. Kenn mich auch persönlich nicht so gut aus mit Pc. Habe schon 3 mal versucht hier was zu schreiben. Aber immer ist der Pc abgestürzt. hier die HiJackthis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:52:24, on 19.05.2008 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\ICQ6\ICQ.exe C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://resultsmaster.com/SmartOffers/Services/resultsmaster/ResultsMasterHomeLeftPane.htm R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: pvnsmfor - {CB07D6A9-7491-4A84-B8E8-E846CC689DDC} - C:\DOKUME~1\***\LOKALE~1\Temp\ac8zt2\pvnsmfor.dll (file missing) O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe O4 - HKLM\..\Run: [d8811755] rundll32.exe "C:\WINDOWS\System32\cqrctaha.dll",b O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - h**p://favorites.live.com/quickadd.aspx O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?c66c43ffc46445d0a6fb9505da11bc7d O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?c66c43ffc46445d0a6fb9505da11bc7d O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O21 - SSODL: mpfanvqg - {C581DE90-04F3-45A6-93F4-1A4585FC4A54} - C:\WINDOWS\mpfanvqg.dll O21 - SSODL: vbksrofa - {C00513D8-5CE3-4CD6-8FB2-D0401C5AC87B} - C:\WINDOWS\vbksrofa.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm -- End of file - 8598 bytes |
|
19.05.2008, 09:48
| #2 | |||
  | Habe ein Problem und kann es leider nich lösen Hi,
__________________über Fakeware auch Trojaner auf dem Rechner: MPFANVQG.DLL, Spyware Remove Zitat:
Bitte folgende Files prüfen: Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Poste das Ergebnis mit Filename, falls die erste Datei (cqrctaha.dll) nicht erkannt wird, aus den Scripten löschen! Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Zitat:
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://resultsmaster.com/SmartOffers/Services/resultsmaster/ResultsMasterHomeLef tPane.htm
O3 - Toolbar: pvnsmfor - {CB07D6A9-7491-4A84-B8E8-E846CC689DDC} - C:\DOKUME~1\***\LOKALE~1\Temp\ac8zt2\pvnsmfor.dll (file missing)
O4 - HKLM\..\Run: [d8811755] rundll32.exe "C:\WINDOWS\System32\cqrctaha.dll",b
O21 - SSODL: mpfanvqg - {C581DE90-04F3-45A6-93F4-1A4585FC4A54} - C:\WINDOWS\mpfanvqg.dll
O21 - SSODL: vbksrofa - {C00513D8-5CE3-4CD6-8FB2-D0401C5AC87B} - C:\WINDOWS\vbksrofa.dll
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
http://www.trojaner-board.de/51187-a...i-malware.html Chris
__________________ |
|
19.05.2008, 10:07
| #3 |
| | Habe ein Problem und kann es leider nich lösen Ich kann avenger nicht installieren. wenn ich auf Speichern klicke läuft es kurz und danach hört es auf und ich finde es auch nicht mehr.
__________________Die anderen habe ich überprüft leider hat die durchsuch Funktion nicht geklappt. Datei cqrctaha.dll empfangen 2008.05.19 10:54:30 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 2/32 (6.25%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 37 und 53 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.16.0 2008.05.19 - AntiVir 7.8.0.19 2008.05.18 - Authentium 5.1.0.4 2008.05.18 - Avast 4.8.1195.0 2008.05.18 - AVG 7.5.0.516 2008.05.18 - BitDefender 7.2 2008.05.19 - CAT-QuickHeal 9.50 2008.05.17 - ClamAV 0.92.1 2008.05.19 - DrWeb 4.44.0.09170 2008.05.19 - eSafe 7.0.15.0 2008.05.18 - eTrust-Vet 31.4.5796 2008.05.16 - Ewido 4.0 2008.05.18 - F-Prot 4.4.2.54 2008.05.14 - F-Secure 6.70.13260.0 2008.05.19 - Fortinet 3.14.0.0 2008.05.19 - GData 2.0.7306.1023 2008.05.19 - Ikarus T3.1.1.26.0 2008.05.19 Trojan.Win32.Vundo.I Kaspersky 7.0.0.125 2008.05.19 - McAfee 5297 2008.05.17 - Microsoft 1.3408 2008.05.13 - NOD32v2 3107 2008.05.18 - Norman 5.80.02 2008.05.16 - Panda 9.0.0.4 2008.05.18 - Prevx1 V2 2008.05.19 Cloaked Malware Rising 20.45.01.00 2008.05.19 - Sophos 4.29.0 2008.05.19 - Sunbelt 3.0.1123.1 2008.05.17 - Symantec 10 2008.05.19 - TheHacker 6.2.92.313 2008.05.19 - VBA32 3.12.6.6 2008.05.18 - VirusBuster 4.3.26:9 2008.05.18 - Webwasher-Gateway 6.6.2 2008.05.19 - weitere Informationen File size: 90752 bytes MD5...: e4d49d626784d0858fbef58e2157eae0 SHA1..: c79ef0bd0f8aea921978d6f184ab6f816b802663 SHA256: 7b5da5ef7ce56fccae90e78f86f374cf69f19a95f42728df84613b10b22a0d15 SHA512: 2a43210b7db6ad4f114dda7ca2b6b24027ccdb60fa061910ced1d197d1d7a955 bb76301dfd2793e9499b8b65e6455a012db080e220dac972cb5c19814b7b5a79 PEiD..: Armadillo v1.xx - v2.xx PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1000107b timedatestamp.....: 0x48219e78 (Wed May 07 12:20:08 2008) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x2000 0x2000 4.69 056212c488387a0da61aa2cf576b3f8e .rdata 0x3000 0x1000 0x800 4.32 b2001809a5e602d08bb35fbecb2c352d .data 0x4000 0x4000 0x3600 7.99 6369361e18d227ce350b6b5bb88d931c DATA 0x8000 0x5000 0x4a00 7.99 5882325233cfb3f0e42d0a01bcfd09ff .data 0xd000 0x19000 0x9c80 7.98 e1d93a7dda94c81d2a069b106a604c6f ( 5 imports ) > kernel32.dll: GetCurrentThreadId, GetProcAddress, InitializeCriticalSection, LoadLibraryA, LocalAlloc, LocalFree, VirtualAlloc, VirtualFree, VirtualProtect, WideCharToMultiByte > user32.dll: GetWindowDC, MessageBoxA, PeekMessageA, PostMessageA, PostQuitMessage, RegisterClassA, ReleaseCapture, ReleaseDC, SendMessageA, SetCursor, SetForegroundWindow, SetMenu, SetMenuItemInfoA, SetPropA, SetScrollPos, SetScrollRange, SetSysColors > gdi32.dll: CombineRgn, CreateBrushIndirect, CreateCompatibleBitmap, CreateCompatibleDC, CreateDIBSection, SetStretchBltMode, SetTextColor, SetWindowOrgEx, StretchBlt, TextOutA > shell32.dll: DllRegisterServer, DllUnregisterServer, DragAcceptFiles, DragQueryFile, DragQueryPoint, SHBrowseForFolder, Shell_NotifyIcon, ShellExecuteA, SHGetPathFromIDList > comdlg32.dll: ChooseColorA, ChooseFontA, GetSaveFileNameA ( 0 exports ) Datei vbksrofa.dll empfangen 2008.05.19 10:58:59 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 10/32 (31.25%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.16.0 2008.05.19 - AntiVir 7.8.0.19 2008.05.18 ADSPY/Agent.PB Authentium 5.1.0.4 2008.05.18 - Avast 4.8.1195.0 2008.05.18 Win32:Agent-LTS AVG 7.5.0.516 2008.05.18 - BitDefender 7.2 2008.05.19 - CAT-QuickHeal 9.50 2008.05.17 - ClamAV 0.92.1 2008.05.19 - DrWeb 4.44.0.09170 2008.05.19 - eSafe 7.0.15.0 2008.05.18 - eTrust-Vet 31.4.5796 2008.05.16 - Ewido 4.0 2008.05.18 - F-Prot 4.4.2.54 2008.05.16 - F-Secure 6.70.13260.0 2008.05.19 Trojan.Win32.Vapsup.fje Fortinet 3.14.0.0 2008.05.19 - GData 2.0.7306.1023 2008.05.19 Trojan.Win32.Vapsup.fje Ikarus T3.1.1.26.0 2008.05.19 Virus.Win32.Agent.LTS Kaspersky 7.0.0.125 2008.05.19 Trojan.Win32.Vapsup.fje McAfee 5297 2008.05.17 - Microsoft 1.3408 2008.05.13 - NOD32v2 3107 2008.05.18 - Norman 5.80.02 2008.05.16 - Panda 9.0.0.4 2008.05.18 - Prevx1 V2 2008.05.19 Cloaked Malware Rising 20.45.01.00 2008.05.19 Trojan.Win32.Zlob.ajl Sophos 4.29.0 2008.05.19 - Sunbelt 3.0.1123.1 2008.05.17 - Symantec 10 2008.05.19 - TheHacker 6.2.92.313 2008.05.19 - VBA32 3.12.6.6 2008.05.18 suspected of Downloader.Zlob.7 (paranoid heuristics) VirusBuster 4.3.26:9 2008.05.18 - Webwasher-Gateway 6.6.2 2008.05.19 Ad-Spyware.Agent.PB weitere Informationen File size: 270336 bytes MD5...: d1cc101056c2281f91179ac75abc808a SHA1..: d04f34bcbf0cb5b2060b66bccacb77718fcfccae SHA256: dee317791dcd402f3b6f22ab07865baedd508e261370caae9d3cfa0dbb1bf16f SHA512: dfe5eed4814f114d1f229aaeb6740c66bbe02cb0fb4dc8670017bb59f0ab1fb6 546141cbd09e332ef7aa2a1de21cc24a8a169b766c5c63806022465e9e7afe94 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10010da6 timedatestamp.....: 0x482de570 (Fri May 16 19:50:08 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x35e38 0x36000 6.46 3fda1936fcb7fa2beed705c47b8eec81 .data 0x37000 0x3328 0x2000 2.63 a3f93053c4982960edb512f93508d1b9 .rsrc 0x3b000 0x51e0 0x6000 4.10 f95d72a18648208ef42de465ad394292 .reloc 0x41000 0x2846 0x3000 4.56 86f24cdf37826fa30ba4d3f0ffdcd42f ( 4 imports ) > KERNEL32.dll: CloseHandle, GetModuleFileNameW, CreateDirectoryW, MoveFileW, WaitForSingleObject, Sleep, FindFirstFileW, FindClose, GetProcAddress, LoadLibraryW, GetLastError, MultiByteToWideChar, WriteFile, SetFilePointer, SystemTimeToFileTime, GetFileAttributesW, ReadFile, GetCurrentDirectoryW, LocalFileTimeToFileTime, WideCharToMultiByte, SetFileTime, DebugBreak, CreateFileA, SetEndOfFile, CreateFileW, lstrcpynW, GetSystemTime, FindNextFileW, FileTimeToSystemTime, FileTimeToLocalFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapFree, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetVersionExA, GetProcessHeap, RaiseException, RtlUnwind, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, HeapSize, ExitProcess, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetConsoleCP, GetConsoleMode, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, LCMapStringW, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, GetModuleFileNameA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetTimeZoneInformation, FreeLibrary, LoadLibraryA, InitializeCriticalSection, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetEnvironmentVariableW, SetStdHandle, FlushFileBuffers, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, VirtualQuery > USER32.dll: GetDesktopWindow, GetWindow, MessageBoxW > ADVAPI32.dll: RegSetValueExW, RegQueryValueExW, RegDeleteValueW > ole32.dll: CoInitialize ( 0 exports ) Geändert von Nicolche (19.05.2008 um 10:26 Uhr) |
|
19.05.2008, 10:54
| #4 |
| | Habe ein Problem und kann es leider nich lösen So nach langer Zeit ging es doch und das kam dabei raus. Löscht das Program eigentlich schon was? Logfile of The Avenger Version 2.0, (c) by Swandog46 Swandog46's Public Anti-Malware Tools Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\WINDOWS\System32\cqrctaha.dll" deleted successfully. File "C:\WINDOWS\vbksrofa.dll" deleted successfully. File "C:\WINDOWS\mpfanvqg.dll" deleted successfully. File "C:\WINDOWS\privacy_danger\index.htm" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
|
19.05.2008, 11:54
| #5 |
| | Habe ein Problem und kann es leider nich lösen Hi, ja, die Files: C:\WINDOWS\System32\cqrctaha.dll deleted successfully. C:\WINDOWS\vbksrofa.dll deleted successfully. C:\WINDOWS\mpfanvqg.dll deleted successfully. C:\WINDOWS\privacy_danger\index.htm deleted successfully. Sind von Avenger (s. Meldung) gelöscht worden. Jetzt unbedingt noch Antimalewarebyte laufen lassen & das Log posten, dann sehen wir weiter... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
19.05.2008, 11:58
| #6 |
| | Habe ein Problem und kann es leider nich lösen Das läuft schon müsste auch bald fertig sein. |
|
19.05.2008, 14:22
| #7 |
| | Habe ein Problem und kann es leider nich lösen So das kam dabei raus Malwarebytes' Anti-Malware 1.12 Datenbank Version: 765 Scan Art: Komplett Scan (C:\|) Objekte gescannt: 179797 Scan Dauer: 1 hour(s), 8 minute(s), 18 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 2 Infizierte Registrierungsschlüssel: 17 Infizierte Registrierungswerte: 4 Infizierte Datei Objekte der Registrierung: 2 Infizierte Verzeichnisse: 7 Infizierte Dateien: 20 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: C:\WINDOWS\system32\qoMeEVnn.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\qoMfcDur.dll (Trojan.Vundo) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ed6287c1-37ac-4fd5-95ac-e44b1d57fe47} (Trojan.Vundo) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{ed6287c1-37ac-4fd5-95ac-e44b1d57fe47} (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} (Trojan.BHO) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\MRSoft (Trojan.Banker) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{ef4cc146-43c9-4741-8d21-eb5035a4ebec} (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ef4cc146-43c9-4741-8d21-eb5035a4ebec} (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\qomfcdur (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webvideo (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\pvnsmfor.brep (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\pvnsmfor.toolbar.1 (Trojan.FakeAlert) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport (Adware.Shopping.Report) -> No action taken. Infizierte Registrierungswerte: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\{c95fe080-8f5d-11d2-a20b-00aa003c157a} (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07aa283a-43d7-4cbe-a064-32a21112d94d} (Adware.Zango) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\{07aa283a-43d7-4cbe-a064-32a21112d94d} (Adware.Zango) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{ef4cc146-43c9-4741-8d21-eb5035a4ebec} (Trojan.Vundo) -> No action taken. Infizierte Datei Objekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\qomeevnn -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\qomeevnn -> No action taken. Infizierte Verzeichnisse: C:\Programme\ShoppingReport (Adware.Shopping.Report) -> No action taken. C:\Programme\ShoppingReport\Bin (Adware.Shopping.Report) -> No action taken. C:\Programme\ShoppingReport\Bin\2.0.24 (Adware.Shopping.Report) -> No action taken. C:\WINDOWS\privacy_danger (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\privacy_danger\images (Trojan.FakeAlert) -> No action taken. C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\ShoppingReport (Adware.Shopping.Report) -> No action taken. C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\ShoppingReport\cs (Adware.Shopping.Report) -> No action taken. Infizierte Dateien: C:\WINDOWS\system32\qoMeEVnn.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\nnVEeMoq.ini (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\nnVEeMoq.ini2 (Trojan.Vundo) -> No action taken. C:\Dokumente und Einstellungen\Florian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q1VGD8ZE\CABAA7DR (Trojan.Vundo) -> No action taken. C:\System Volume Information\_restore{22FD245B-5739-43A2-AF2F-A95CED4B81D7}\RP260\A0092567.dll (Trojan.Vundo) -> No action taken. C:\Programme\ShoppingReport\Bin\2.0.24\ShoppingReport.dll (Adware.Shopping.Report) -> No action taken. C:\WINDOWS\privacy_danger\images\capt.gif (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\privacy_danger\images\danger.jpg (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\privacy_danger\images\down.gif (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\privacy_danger\images\spacer.gif (Trojan.FakeAlert) -> No action taken. C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\ShoppingReport\cs\Config.xml (Adware.Shopping.Report) -> No action taken. C:\WINDOWS\rs.txt (Malware.Trace) -> No action taken. C:\WINDOWS\system32\qoMfcDur.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\oadkxrts.exe (Trojan.FakeAlert) -> No action taken. C:\Dokumente und Einstellungen\Nicole\Favoriten\Error Cleaner.url (Rogue.Link) -> No action taken. C:\Dokumente und Einstellungen\Florian\Favoriten\Error Cleaner.url (Rogue.Link) -> No action taken. C:\Dokumente und Einstellungen\Nicole\Favoriten\Privacy Protector.url (Rogue.Link) -> No action taken. C:\Dokumente und Einstellungen\Florian\Favoriten\Privacy Protector.url (Rogue.Link) -> No action taken. C:\Dokumente und Einstellungen\Nicole\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> No action taken. C:\Dokumente und Einstellungen\Florian\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> No action taken. |
|
19.05.2008, 14:57
| #8 |
| | Habe ein Problem und kann es leider nich lösen Hi, ist das Log vollständig? Es fehlt der Teil wo er anfängt zu löschen... (Du hast doch alles gefundene Löschen lassen?) Bitte den noch posten sowie ein Scan von DSS: Download dss zum Desktop (http://www.techsupportforum.com/sect...eckard/dss.exe) Doppelklick dss.exe Kopiere den Inhalt des Berichts C:\main.txt und extra.txt in Deinen Thread chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
19.05.2008, 17:50
| #9 |
| | Habe ein Problem und kann es leider nich lösen Ups kann ich noch machen. Habe es ja noch offen. Bin nur eingeschlafen. Malwarebytes' Anti-Malware 1.12 Datenbank Version: 765 Scan Art: Komplett Scan (C:\|) Objekte gescannt: 179797 Scan Dauer: 1 hour(s), 8 minute(s), 18 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 2 Infizierte Registrierungsschlüssel: 17 Infizierte Registrierungswerte: 4 Infizierte Datei Objekte der Registrierung: 2 Infizierte Verzeichnisse: 7 Infizierte Dateien: 20 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: C:\WINDOWS\system32\qoMeEVnn.dll (Trojan.Vundo) -> Unloaded module successfully. C:\WINDOWS\system32\qoMfcDur.dll (Trojan.Vundo) -> Unloaded module successfully. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ed6287c1-37ac-4fd5-95ac-e44b1d57fe47} (Trojan.Vundo) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{ed6287c1-37ac-4fd5-95ac-e44b1d57fe47} (Trojan.Vundo) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\MRSoft (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{ef4cc146-43c9-4741-8d21-eb5035a4ebec} (Trojan.Vundo) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ef4cc146-43c9-4741-8d21-eb5035a4ebec} (Trojan.Vundo) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\qomfcdur (Trojan.Vundo) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webvideo (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\pvnsmfor.brep (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\pvnsmfor.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport (Adware.Shopping.Report) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\{c95fe080-8f5d-11d2-a20b-00aa003c157a} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07aa283a-43d7-4cbe-a064-32a21112d94d} (Adware.Zango) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\{07aa283a-43d7-4cbe-a064-32a21112d94d} (Adware.Zango) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{ef4cc146-43c9-4741-8d21-eb5035a4ebec} (Trojan.Vundo) -> Delete on reboot. Infizierte Datei Objekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\qomeevnn -> Delete on reboot. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\qomeevnn -> Delete on reboot. Infizierte Verzeichnisse: C:\Programme\ShoppingReport (Adware.Shopping.Report) -> Quarantined and deleted successfully. C:\Programme\ShoppingReport\Bin (Adware.Shopping.Report) -> Quarantined and deleted successfully. C:\Programme\ShoppingReport\Bin\2.0.24 (Adware.Shopping.Report) -> Quarantined and deleted successfully. C:\WINDOWS\privacy_danger (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\privacy_danger\images (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\ShoppingReport (Adware.Shopping.Report) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\ShoppingReport\cs (Adware.Shopping.Report) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINDOWS\system32\qoMeEVnn.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\nnVEeMoq.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\nnVEeMoq.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Florian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q1VGD8ZE\CABAA7DR (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{22FD245B-5739-43A2-AF2F-A95CED4B81D7}\RP260\A0092567.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Programme\ShoppingReport\Bin\2.0.24\ShoppingReport.dll (Adware.Shopping.Report) -> Quarantined and deleted successfully. C:\WINDOWS\privacy_danger\images\capt.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\privacy_danger\images\danger.jpg (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\privacy_danger\images\down.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\privacy_danger\images\spacer.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\ShoppingReport\cs\Config.xml (Adware.Shopping.Report) -> Quarantined and deleted successfully. C:\WINDOWS\rs.txt (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\qoMfcDur.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\oadkxrts.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Nicole\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Florian\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Nicole\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Florian\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Nicole\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Florian\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully. Geändert von Nicolche (19.05.2008 um 17:55 Uhr) |
|
21.05.2008, 08:20
| #10 |
| | Habe ein Problem und kann es leider nich lösen Ich habe es jetzt geschrieben, habe ja immer noch ein paar drauf. würde die gerne auch noch entfernen bevor mein Schwiegervater dran will. Das letzte mal ist mein PC 2 Wochen nicht gelaufen |
|
21.05.2008, 08:33
| #11 |
| | Habe ein Problem und kann es leider nich lösen Hi, dss und noch ein HJ-Log... Und noch datfindbat (Datfindbat) (nur die letzten 3 Monate von den Dateien in den Thread kopieren).. chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
21.05.2008, 12:16
| #12 |
| | Habe ein Problem und kann es leider nich lösen Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:06:01, on 21.05.2008 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RunDll32.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\ICQ6\ICQ.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe C:\Programme\PrevxCSI\prevxcsi.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\PrevxCSI\prevxcsi.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Yahoo! Suche Websuche R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Yahoo! Deutschland R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Yahoo! Suche Websuche R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Yahoo! Suche Websuche R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Yahoo! Suche Websuche R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: QXK Rhythm - {132F969E-2442-47BE-8CC8-955483AF951B} - C:\WINDOWS\fvowketqfgq.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O2 - BHO: Min stor proj. - {FFFFFFFF-D71D-41e4-A699-F506DBD097F0} - msindc.dll (file missing) O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - Add to Windows Live Favorites O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?c66c43ffc46445d0a6fb9505da11bc7d O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?c66c43ffc46445d0a6fb9505da11bc7d O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CSIScanner - Prevx - C:\Programme\PrevxCSI\prevxcsi.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- End of file - 8718 bytes Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D881-17FA Verzeichnis von c:\ 21.05.2008 13:12 0 dirdat.txt 21.05.2008 13:01 1.207.959.552 pagefile.sys 20.05.2008 15:26 268 sqmdata05.sqm 20.05.2008 15:26 244 sqmnoopt05.sqm 20.05.2008 09:15 268 sqmdata04.sqm 20.05.2008 09:15 244 sqmnoopt04.sqm 19.05.2008 21:02 268 sqmdata03.sqm 19.05.2008 21:02 244 sqmnoopt03.sqm 19.05.2008 18:51 268 sqmdata02.sqm 19.05.2008 18:51 244 sqmnoopt02.sqm 19.05.2008 12:01 268 sqmdata01.sqm 19.05.2008 12:01 244 sqmnoopt01.sqm 19.05.2008 11:49 1.360 avenger.txt 19.05.2008 11:48 268 sqmdata00.sqm 19.05.2008 11:48 244 sqmnoopt00.sqm 19.05.2008 09:43 268 sqmdata19.sqm 19.05.2008 09:43 244 sqmnoopt19.sqm 19.05.2008 08:31 268 sqmdata18.sqm 19.05.2008 08:31 244 sqmnoopt18.sqm 17.05.2008 17:07 268 sqmdata17.sqm 17.05.2008 17:07 244 sqmnoopt17.sqm 17.05.2008 14:05 268 sqmdata16.sqm 17.05.2008 14:05 244 sqmnoopt16.sqm 17.05.2008 01:28 268 sqmdata15.sqm 17.05.2008 01:28 244 sqmnoopt15.sqm 16.05.2008 16:11 268 sqmdata14.sqm 16.05.2008 16:11 244 sqmnoopt14.sqm 16.05.2008 09:40 268 sqmdata13.sqm 16.05.2008 09:40 244 sqmnoopt13.sqm 15.05.2008 15:44 268 sqmdata12.sqm 15.05.2008 15:44 244 sqmnoopt12.sqm 15.05.2008 11:30 268 sqmdata11.sqm 15.05.2008 11:30 244 sqmnoopt11.sqm 14.05.2008 20:34 268 sqmdata10.sqm 14.05.2008 20:34 244 sqmnoopt10.sqm 14.05.2008 12:41 268 sqmdata09.sqm 14.05.2008 12:41 244 sqmnoopt09.sqm 13.05.2008 22:44 268 sqmdata08.sqm 13.05.2008 22:44 244 sqmnoopt08.sqm 12.05.2008 23:25 268 sqmdata07.sqm 12.05.2008 23:25 244 sqmnoopt07.sqm 12.05.2008 03:38 268 sqmdata06.sqm 12.05.2008 03:38 244 sqmnoopt06.sqm 11.05.2008 23:40 0 proxy.txt 11.05.2008 23:40 341 Craagle.ini 06.05.2008 12:15 0 FileOut.Cns 06.05.2008 12:15 0 FileIn.Cns Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D881-17FA Verzeichnis von C:\WINDOWS\system32 21.05.2008 13:01 88.566 nvapps.xml 19.05.2008 18:51 383.567 nnVEeMoq.ini 19.05.2008 18:50 29.824 qoMfcDur.dll 19.05.2008 18:50 318.848 qoMeEVnn.dll 19.05.2008 10:16 1.326.003 ahatcrqc.ini 19.05.2008 10:08 143 mcrh.tmp 19.05.2008 07:52 0 clkcnt.txt 19.05.2008 07:51 1.325.703 ghoctdvc.ini 19.05.2008 07:44 2.184 wpa.dbl 17.05.2008 15:35 294 glgamecm.ini 17.05.2008 15:17 1.479.451 glgamecm.tmp 06.05.2008 11:21 313.968 FNTCACHE.DAT 05.05.2008 19:13 9.216 Thumbs.db 22.04.2008 20:35 403.968 perfh009.dat 22.04.2008 20:35 76.014 perfc007.dat 22.04.2008 20:35 63.188 perfc009.dat 22.04.2008 20:35 418.970 perfh007.dat 22.04.2008 20:35 974.848 PerfStringBackup.INI 22.04.2008 13:48 6.641 jupdate-1.6.0_05-b13.log 05.04.2008 15:32 532.480 J„germeister.scr 29.03.2008 13:25 2.158 duis.txt 08.03.2008 09:57 16.832 amcompat.tlb 08.03.2008 09:57 23.392 nscompat.tlb 22.02.2008 02:33 139.264 javaws.exe 22.02.2008 02:33 69.632 javacpl.cpl 22.02.2008 01:23 135.168 javaw.exe 22.02.2008 01:23 135.168 java.exe Verzeichnis von C:\WINDOWS 21.05.2008 13:02 0 0.log 21.05.2008 13:01 2.048 bootstat.dat 21.05.2008 09:09 32.612 SchedLgU.Txt 20.05.2008 15:27 50 wiaservc.log 20.05.2008 15:27 412 wiadebug.log 20.05.2008 08:17 71 pex.INI 17.05.2008 10:36 54.156 QTFont.qfn 17.05.2008 01:58 159.744 emxa.exe 16.05.2008 12:27 116 NeroDigital.ini 16.05.2008 12:26 167.856 wmsetup.log 15.05.2008 08:14 30 Iedit.INI 11.05.2008 14:09 1.041 Ulead32.ini 08.05.2008 20:03 1.409 QTFont.for 07.05.2008 09:06 62 ACROREAD.INI 06.05.2008 11:07 656.411 setupapi.log 30.04.2008 08:11 316.640 WMSysPr9.prx 19.04.2008 14:17 6.756 ModemLog_Motorola USB Modem.txt 13.04.2008 12:04 1.392 mozver.dat Verzeichnis von C:\DOKUME~1\Nicole\LOKALE~1\Temp 21.05.2008 13:06 109.991 jusched.log 21.05.2008 13:02 0 JETD86E.tmp 21.05.2008 07:45 0 JETD84F.tmp 19.05.2008 14:10 311.296 ~DF7251.tmp 19.05.2008 11:44 267.168 ph2pkstd.zip 19.05.2008 11:39 731.136 3hqfrwk8.exe 19.05.2008 11:36 731.136 i669g0ih.exe 19.05.2008 11:35 731.136 hb8ji4az.exe 19.05.2008 11:22 16.384 ~DF7DEA.tmp 19.05.2008 11:07 16.384 ~DFEB13.tmp 19.05.2008 11:02 731.136 2h2acy1o.exe 19.05.2008 11:00 731.136 tpyynrf2.exe 19.05.2008 10:59 731.136 9xivxsfl.exe 19.05.2008 10:21 1.261 tmp4.tmp 19.05.2008 10:21 0 tmp3.tmp 19.05.2008 10:06 16.384 ~DFE866.tmp 19.05.2008 09:46 0 JET23BA.tmp 19.05.2008 07:52 0 JET311D.tmp 19.05.2008 07:49 0 JET6D2C.tmp 17.05.2008 17:02 16.384 ~DFF07D.tmp 17.05.2008 17:00 16.384 ~DF9E22.tmp 15.05.2008 08:03 468 dw.log 15.05.2008 07:50 1.261 tmp15.tmp 15.05.2008 07:50 0 tmp14.tmp 14.05.2008 11:32 22.176 java_install_reg.log 13.05.2008 08:30 1.419.778 c4ll6wve.jpg 09.05.2008 20:25 28.447 varqk0sn.zip 09.05.2008 20:09 571.215 nmsuye83.zip 08.05.2008 07:49 1.261 tmp2.tmp 08.05.2008 07:49 0 tmp1.tmp 06.05.2008 17:19 267.795 955dixow.zip 05.05.2008 19:26 1.375 tmp6D.tmp 05.05.2008 19:26 0 tmp6C.tmp 04.05.2008 10:33 21.176 despeedracer.bmp 30.04.2008 08:16 685 TWAIN.LOG 30.04.2008 08:16 2 Twain001.Mtx 30.04.2008 08:16 156 Twunk001.MTX 30.04.2008 07:48 0 JETB4C9.tmp 26.04.2008 18:05 0 Twunk002.MTX 22.04.2008 19:40 13.592 temp.ani 22.04.2008 19:40 212.992 drm_dyndata_7350007.dll 22.04.2008 13:46 8.242 jinstall.cfg 19.04.2008 17:36 0 JET6E3E.tmp 17.04.2008 19:26 279 footer.gif 16.04.2008 21:48 21.176 dealways.bmp 15.04.2008 11:17 0 RBY58.tmp 13.04.2008 12:04 0 MSW32.tmp 13.04.2008 12:04 0 MSW30.tmp 07.04.2008 15:50 0 JETE5BC.tmp 03.04.2008 07:44 0 WER1.tmp 29.03.2008 20:30 849 jar_cache55792.tmp 29.03.2008 20:30 869 jar_cache55793.tmp 18.03.2008 08:49 81.920 ~DF830A.tmp 18.03.2008 08:49 512 ~DF8B2E.tmp 18.03.2008 08:49 0 JETDEB7.tmp 18.03.2008 08:49 512 ~DFFC58.tmp 18.03.2008 08:49 81.920 ~DFFC4D.tmp 11.03.2008 14:35 0 JET9F7E.tmp 09.03.2008 23:51 23.427 TFR20.tmp 09.03.2008 23:51 67.994 TFR1E.tmp 09.03.2008 23:51 21.122 TFR14.tmp 09.03.2008 23:51 27.777 TFR10.tmp 09.03.2008 23:51 67.560 TFRB.tmp 09.03.2008 23:51 59.218 TFR8.tmp 09.03.2008 23:51 46.660 TFR7.tmp 09.03.2008 23:51 46.021 TFR5.tmp 05.03.2008 13:41 21.176 demexx.bmp 03.03.2008 18:39 1.525.589 8qddug74.rar 01.03.2008 17:16 0 JET9C9D.tmp 29.02.2008 17:29 107.888 CmdLineExt.dll 27.02.2008 15:26 14.408.520 54d33c8748d1e2f36a7a75ef818fb479 25.02.2008 19:41 21.176 lacostepink.bmp 25.02.2008 09:00 0 JETFEC2.tmp 23.02.2008 18:52 16.384 ~DF535E.tmp 22.02.2008 11:09 2.238 xprt57f4.ico 19.02.2008 08:44 0 JET8963.tmp 13.02.2008 10:38 2.238 xprt6549.ico 13.02.2008 10:38 2.238 xprt104c.ico 13.02.2008 10:38 2.238 xprt1fc6.ico 13.02.2008 10:38 2.238 xprt0321.ico 13.02.2008 10:38 2.238 xprt6bfc.ico 13.02.2008 10:38 2.238 xprt2fa9.ico 06.02.2008 20:27 3.062 jar_cache12214.tmp 06.02.2008 20:27 849 jar_cache12213.tmp 06.02.2008 20:27 869 jar_cache12215.tmp 06.02.2008 20:27 558 jar_cache12211.tmp |
|
21.05.2008, 12:43
| #13 |
| | Habe ein Problem und kann es leider nich lösen Hi, da ist immer noch einiges los auf der Festplatte! Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Files to delete:
c:\sqmdata05.sqm
c:\sqmnoopt05.sqm
c:\sqmdata04.sqm
c:\sqmnoopt04.sqm
c:\sqmdata03.sqm
c:\sqmnoopt03.sqm
c:\sqmdata02.sqm
c:\sqmnoopt02.sqm
c:\sqmdata01.sqm
c:\sqmnoopt01.sqm
c:\sqmdata00.sqm
c:\sqmnoopt00.sqm
c:\sqmdata19.sqm
c:\sqmnoopt19.sqm
c:\sqmdata18.sqm
c:\sqmnoopt18.sqm
c:\sqmdata17.sqm
c:\sqmnoopt17.sqm
c:\sqmdata16.sqm
c:\sqmnoopt16.sqm
c:\sqmdata15.sqm
c:\sqmnoopt15.sqm
c:\sqmdata14.sqm
c:\sqmnoopt14.sqm
c:\sqmdata13.sqm
c:\sqmnoopt13.sqm
c:\sqmdata12.sqm
c:\sqmnoopt12.sqm
c:\sqmdata11.sqm
c:\sqmnoopt11.sqm
c:\sqmdata10.sqm
c:\sqmnoopt10.sqm
c:\sqmdata09.sqm
c:\sqmnoopt09.sqm
c:\sqmdata08.sqm
c:\sqmnoopt08.sqm
c:\sqmdata07.sqm
c:\sqmnoopt07.sqm
c:\sqmdata06.sqm
c:\sqmnoopt06.sqm
C:\WINDOWS\system32\nnVEeMoq.ini
C:\WINDOWS\system32\qoMfcDur.dll
C:\WINDOWS\system32\qoMeEVnn.dll
C:\WINDOWS\system32\ahatcrqc.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\system32\ghoctdvc.ini
C:\WINDOWS\system32\glgamecm.ini
C:\WINDOWS\system32\glgamecm.tmp
folders to delete:
C:\DOKUME~1\Nicole\LOKALE~1\Temp
4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Combofix: Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:Ein Leitfaden und Tutorium zur Nutzung von ComboFix Danach noch mal datfind und Silentrunner: SilentRunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip Nach dem Posten bitte nicht mehr in der Gegend rumsurfen bzw. das Internet im Auge behalten... Unser Problem ist, die Tools finden nicht alles, ich sehe nicht alles und während wir die einen Sachen löschen, läd der Rest munter neue Teile runter; z. B.: 19.05.2008 18:51 383.567 nnVEeMoq.ini 19.05.2008 18:50 29.824 qoMfcDur.dll 19.05.2008 18:50 318.848 qoMeEVnn.dll 19.05.2008 10:16 1.326.003 ahatcrqc.ini chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) Geändert von Chris4You (21.05.2008 um 12:52 Uhr) |
|
21.05.2008, 21:00
| #14 |
| | Habe ein Problem und kann es leider nich lösen Das ist das vom Avenger den rest erledige ich jetz. Logfile of The Avenger Version 2.0, (c) by Swandog46 Swandog46's Public Anti-Malware Tools Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "c:\sqmdata05.sqm" deleted successfully. File "c:\sqmnoopt05.sqm" deleted successfully. File "c:\sqmdata04.sqm" deleted successfully. File "c:\sqmnoopt04.sqm" deleted successfully. File "c:\sqmdata03.sqm" deleted successfully. File "c:\sqmnoopt03.sqm" deleted successfully. File "c:\sqmdata02.sqm" deleted successfully. File "c:\sqmnoopt02.sqm" deleted successfully. File "c:\sqmdata01.sqm" deleted successfully. File "c:\sqmnoopt01.sqm" deleted successfully. File "c:\sqmdata00.sqm" deleted successfully. File "c:\sqmnoopt00.sqm" deleted successfully. File "c:\sqmdata19.sqm" deleted successfully. File "c:\sqmnoopt19.sqm" deleted successfully. File "c:\sqmdata18.sqm" deleted successfully. File "c:\sqmnoopt18.sqm" deleted successfully. File "c:\sqmdata17.sqm" deleted successfully. File "c:\sqmnoopt17.sqm" deleted successfully. File "c:\sqmdata16.sqm" deleted successfully. File "c:\sqmnoopt16.sqm" deleted successfully. File "c:\sqmdata15.sqm" deleted successfully. File "c:\sqmnoopt15.sqm" deleted successfully. File "c:\sqmdata14.sqm" deleted successfully. File "c:\sqmnoopt14.sqm" deleted successfully. File "c:\sqmdata13.sqm" deleted successfully. File "c:\sqmnoopt13.sqm" deleted successfully. File "c:\sqmdata12.sqm" deleted successfully. File "c:\sqmnoopt12.sqm" deleted successfully. File "c:\sqmdata11.sqm" deleted successfully. File "c:\sqmnoopt11.sqm" deleted successfully. File "c:\sqmdata10.sqm" deleted successfully. File "c:\sqmnoopt10.sqm" deleted successfully. File "c:\sqmdata09.sqm" deleted successfully. File "c:\sqmnoopt09.sqm" deleted successfully. File "c:\sqmdata08.sqm" deleted successfully. File "c:\sqmnoopt08.sqm" deleted successfully. File "c:\sqmdata07.sqm" deleted successfully. File "c:\sqmnoopt07.sqm" deleted successfully. File "c:\sqmdata06.sqm" deleted successfully. File "c:\sqmnoopt06.sqm" deleted successfully. File "C:\WINDOWS\system32\nnVEeMoq.ini" deleted successfully. File "C:\WINDOWS\system32\qoMfcDur.dll" deleted successfully. File "C:\WINDOWS\system32\qoMeEVnn.dll" deleted successfully. File "C:\WINDOWS\system32\ahatcrqc.ini" deleted successfully. File "C:\WINDOWS\system32\mcrh.tmp" deleted successfully. File "C:\WINDOWS\system32\clkcnt.txt" deleted successfully. File "C:\WINDOWS\system32\ghoctdvc.ini" deleted successfully. File "C:\WINDOWS\system32\glgamecm.ini" deleted successfully. File "C:\WINDOWS\system32\glgamecm.tmp" deleted successfully. Folder "C:\DOKUME~1\Nicole\LOKALE~1\Temp" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
|
21.05.2008, 21:30
| #15 |
| | Habe ein Problem und kann es leider nich lösen . ---- Previous Run ------- . C:\WINDOWS\system32\duis.txt . ((((((((((((((((((((((( Dateien erstellt von 2008-04-21 bis 2008-05-21 )))))))))))))))))))))))))))))) . 2008-05-21 22:11 . 2008-05-21 22:11 268 --ah----- C:\sqmdata00.sqm 2008-05-21 22:11 . 2008-05-21 22:11 244 --ah----- C:\sqmnoopt00.sqm 2008-05-21 13:08 . 2008-05-21 13:08 <DIR> d-------- C:\Programme\CCleaner 2008-05-19 14:14 . 2008-05-19 14:14 <DIR> d-------- C:\Programme\PrevxCSI 2008-05-19 14:14 . 2008-05-21 21:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI 2008-05-19 14:14 . 2008-05-19 14:14 17,408 --a------ C:\WINDOWS\system32\drivers\pxark.sys 2008-05-19 12:06 . 2008-05-19 12:06 <DIR> d-------- C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\Malwarebytes 2008-05-19 12:05 . 2008-05-19 12:06 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-05-19 12:05 . 2008-05-19 12:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-05-19 12:05 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-05-19 12:05 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-05-19 09:51 . 2008-05-19 09:51 <DIR> d-------- C:\Programme\Trend Micro 2008-05-17 14:01 . 2008-05-19 10:17 <DIR> d-------- C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\TmpRecentIcons 2008-05-17 14:00 . 2008-05-17 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\TmpRecentIcons 2008-05-17 10:43 . 2008-05-17 01:58 159,744 --a------ C:\WINDOWS\emxa.exe 2008-05-08 20:03 . 2008-05-17 10:36 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-05-08 20:03 . 2008-05-08 20:03 1,409 --a------ C:\WINDOWS\QTFont.for 2008-05-07 09:06 . 2008-05-07 09:06 62 --a------ C:\WINDOWS\ACROREAD.INI 2008-05-06 19:17 . 2008-05-06 19:17 <DIR> d-------- C:\Programme\TubeEx 2008-05-06 11:24 . 2008-05-06 12:15 0 --a------ C:\FileOut.Cns 2008-05-06 11:24 . 2008-05-06 12:15 0 --a------ C:\FileIn.Cns 2008-05-06 11:07 . 2008-05-06 11:07 <DIR> d-------- C:\Programme\Microsoft Games 2008-05-05 19:13 . 1994-11-18 01:00 210,944 --a------ C:\WINDOWS\system32\MSVCRT10.DLL 2008-05-05 19:13 . 1996-10-30 09:35 32,768 --a------ C:\WINDOWS\system32\PLUGIN.DLL 2008-05-05 19:13 . 2008-05-05 19:13 9,216 --ahs---- C:\WINDOWS\system32\Thumbs.db 2008-05-04 09:25 . 2008-05-20 08:17 71 --a------ C:\WINDOWS\pex.INI 2008-05-04 09:24 . 2008-05-04 09:24 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Ulead Systems 2008-04-30 13:47 . 2008-05-15 08:14 30 --a------ C:\WINDOWS\Iedit.INI 2008-04-30 08:10 . 2002-12-09 15:42 32,768 --------- C:\WINDOWS\system32\UleadPhotoExplorer8_Res.dll 2008-04-30 08:10 . 2002-11-01 14:28 24,576 --------- C:\WINDOWS\system32\Ulead Photo Explorer 8.scr 2008-04-30 08:03 . 2008-04-30 08:10 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ulead Systems 2008-04-28 19:31 . 2008-05-08 09:23 <DIR> d-------- C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\Ulead Systems 2008-04-28 19:20 . 2008-05-05 19:17 <DIR> d-------- C:\Programme\Ulead Systems 2008-04-26 18:01 . 2008-05-08 09:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems 2008-04-25 12:49 . 2008-04-25 12:49 <DIR> d-------- C:\Programme\Monte Cristo . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-19 06:21 --------- d-----w C:\Programme\ICQToolbar 2008-05-08 12:13 --------- d-----w C:\Programme\eMule 2008-04-30 06:10 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-04-28 17:24 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2008-04-28 07:40 --------- d-----w C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\gtk-2.0 2008-04-22 11:48 --------- d-----w C:\Programme\Java 2008-04-16 19:48 --------- d-----w C:\Programme\ICQ6 2008-04-15 07:19 --------- d-----w C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\FileZilla 2008-04-11 19:48 --------- d-----w C:\Programme\PhotoFiltre 2008-04-05 13:32 532,480 ----a-w C:\WINDOWS\system32\Jägermeister.scr 2007-07-16 10:43 15,732,984 ----a-w C:\Programme\Google_Earth_BZXE.exe 2007-07-05 13:58 396,672 ----a-w C:\Programme\gamesplayer.exe 2007-07-03 12:03 32,513,029 ----a-w C:\Programme\Second Life 1-17-2-0 Setup.exe 2007-06-30 17:53 35,143 ----a-w C:\Dokumente und Einstellungen\Nicole\Anwendungsdaten\mdb.bin 2007-06-15 16:47 24,192 ----a-w C:\Dokumente und Einstellungen\Florian\usbsermptxp.sys 2007-06-15 16:47 22,768 ----a-w C:\Dokumente und Einstellungen\Florian\usbsermpt.sys 2007-03-06 17:09 24,192 ----a-w C:\Dokumente und Einstellungen\Nicole\usbsermptxp.sys 2007-03-06 17:09 22,768 ----a-w C:\Dokumente und Einstellungen\Nicole\usbsermpt.sys 2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL 2007-03-06 16:30 56 --sh--r C:\WINDOWS\system32\8843A20488.sys 2007-03-06 16:31 3,350 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ------- Sigcheck ------- 2001-08-23 14:00 430080 2b0e480e975ee51f2d5ce5f068fed6e2 C:\WINDOWS\system32\winlogon.exe . ((((((((((((((((((((((((((((( snapshot@2008-05-21_22.20.51.25 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-09 10:14:27 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-05-21 20:19:28 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-05-09 10:14:27 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat + 2008-05-21 20:19:28 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat - 2008-05-09 10:14:27 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2008-05-21 20:19:28 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat - 2008-04-22 18:35:45 76,014 ----a-w C:\WINDOWS\system32\perfc007.dat + 2008-05-21 20:14:48 76,014 ----a-w C:\WINDOWS\system32\perfc007.dat - 2008-04-22 18:35:45 63,188 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-05-21 20:14:48 63,188 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-04-22 18:35:45 418,970 ----a-w C:\WINDOWS\system32\perfh007.dat + 2008-05-21 20:14:48 418,970 ----a-w C:\WINDOWS\system32\perfh007.dat - 2008-04-22 18:35:45 403,968 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-05-21 20:14:49 403,968 ----a-w C:\WINDOWS\system32\perfh009.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{132F969E-2442-47BE-8CC8-955483AF951B}] C:\WINDOWS\fvowketqfgq.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-18 14:00 13312] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2006-02-01 17:45 98304] "MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352] "Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.exe" [2007-08-30 18:43 4670704] "ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Cmaudio"="cmicnfg.cpl" [] "NWEReboot"="" [] "NeroFilterCheck"="C:\WINDOWS\System32\NeroCheck.exe" [2006-01-12 16:40 155648] "ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2005-08-11 17:30 249856] "ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-11 17:30 81920] "Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 03:10 409600] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 14:33 262401] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 06:24 286720] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-10-22 12:22 7700480] "nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2006-10-22 12:22 86016] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792] "Ulead Memory Card Detector"="C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe" [2002-12-10 10:03 49152] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-18 14:00 13312] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.ACDV"= ACDV.dll R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-04-16 14:33] R0 pxark;pxark;C:\WINDOWS\System32\drivers\pxark.sys [2008-05-19 14:14] R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-04-16 14:33] R2 CSIScanner;CSIScanner;"C:\Programme\PrevxCSI\prevxcsi.exe" /service [] S3 LwAdiHid;Logitech WingMan-Digitalgeräte (autom. Erkennung);C:\WINDOWS\System32\DRIVERS\LwAdiHid.sys [2001-08-17 12:49] . Inhalt des "geplante Tasks" Ordners "2008-05-03 19:35:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe "2008-05-21 20:09:00 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job" - C:\Programme\Windows Live Toolbar\MSNTBUP.EXE . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-21 22:24:19 Windows 5.1.2600 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-05-21 22:25:48 ComboFix-quarantined-files.txt 2008-05-21 20:25:25 10 Verzeichnis(se), 41,376,825,344 Bytes frei 13 Verzeichnis(se), 41,367,879,680 Bytes frei 153 |
|
| Themen zu Habe ein Problem und kann es leider nich lösen |
| 1.exe, adobe, antivir, avira, canon, components, desktop, dll, excel, explorer, firefox, google, helfen, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, mozilla, mozilla firefox, nvidia, privacy protection, problem, programme, rundll, seiten, software, system, temp, urlsearchhook, windows, windows xp, wmid |
Linear-Darstellung
