|
Log-Analyse und Auswertung: Virtumonde => Ich brauche hilfe.... -.-Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
26.05.2008, 22:09 | #1 |
| Virtumonde => Ich brauche hilfe.... -.- Hey Leute,ich habe seit kurzem Virtumonde auf meinem Rechner und ich habe bisher echt viel versucht um ihm loszuwerden,ohne erfolg... Spyware Doctor kann ihn finden aber nicht entfernen da ich nur die Gratis version habe. Alle andere programme, ob nun CCleaner, ein spezielles Anti-Vundo Tool von Symantech, VundoFix V7.0.5 , ComboFix und noch nen dutzend weitere haben nichts gefunden und konnten mir so nicht helfen.... Hier ist erst einmal mein HijackThis log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:06:25, on 26.05.2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\System32\smss.exe C:\Windows\system32\csrss.exe C:\Windows\system32\wininit.exe C:\Windows\system32\csrss.exe C:\Windows\system32\services.exe C:\Windows\system32\lsass.exe C:\Windows\system32\lsm.exe C:\Windows\system32\svchost.exe C:\Windows\system32\winlogon.exe C:\Windows\system32\nvvsvc.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\SLsvc.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\System32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Windows\system32\svchost.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\oodag.exe C:\Windows\System32\svchost.exe C:\Windows\system32\PnkBstrA.exe C:\Windows\system32\svchost.exe D:\Programme\Spyware Doctor\pctsAuxs.exe D:\Programme\Spyware Doctor\pctsSvc.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\SearchIndexer.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\rundll32.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe C:\Windows\System32\rundll32.exe C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe C:\Program Files\Common Files\Logitech\LCD Manager\LCDMon.exe D:\Programme\Spyware Doctor\pctsTray.exe C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDClock.exe C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDCountdown.exe C:\Programme\HP\HP Software Update\hpwuSchd2.exe C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDPOP3.exe C:\Programme\Razer\Copperhead\razerhid.exe C:\Program Files\Common Files\Logitech\LCD Manager\Applets\NGists\NGists.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Windows\System32\rundll32.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\System32\rundll32.exe C:\Windows\ehome\ehtray.exe C:\Windows\ehome\ehmsas.exe D:\Programme\DAEMON Tools Lite\daemon.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Windows Media Player\wmpnetwk.exe C:\Users\Julius Dombrowski\Program Files\DNA\btdna.exe C:\Windows\ehome\ehsched.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Razer\Copperhead\razertra.exe C:\Programme\Razer\Copperhead\razerofa.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\system32\wbem\unsecapp.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Windows\ehome\ehRecvr.exe D:\Programme\Miranda SE 1.75\miranda32.exe D:\Programme\Mozilla Firefox\firefox.exe D:\Programme\Lavasoft\Ad-Aware\aawservice.exe D:\Programme\Spyware Doctor\pctsGui.exe C:\Windows\system32\DllHost.exe C:\Users\Julius Dombrowski\Desktop\HiJackThis.exe C:\Windows\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - D:\PROGRA~2\TerraTec\TERRAT~1\THCDES~1.DLL O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe" O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Common Files\Logitech\LCD Manager\LCDMon.exe" O4 - HKLM\..\Run: [ISTray] "D:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Copperhead] C:\Programme\Razer\Copperhead\razerhid.exe O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\JULIUS~1\AppData\Local\Temp\opnnmMDu.dll,#1 O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\JULIUS~1\AppData\Local\Temp\ljJBtrpO.dll,c O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [f204db06] rundll32.exe "C:\Users\JULIUS~1\AppData\Local\Temp\amewuabi.dll",b O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Users\Julius Dombrowski\Program Files\DNA\btdna.exe" O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O13 - Gopher Prefix: O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206720462840 O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - D:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe (file missing) O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe -- End of file - 8905 bytes Bitte hilf mir jemand,ich weiss nicht mehr was ich tun soll.... |
27.05.2008, 00:13 | #2 |
| Virtumonde => Ich brauche hilfe.... -.- Also es scheint als hätte ich die Viren entfernt.
__________________Ich habe mir Spyware Doctor gekauft.... und es hat alles entfernt. Nun findet es keinerlei bedrohungen mehr. Die Online Überprüfung von Symantec läuft gerade,ich denke es wird auch nichts finden. Das erschreckende daran ist leider,dass ich ungefähr alle 15 minuten ein Fenster sehe (Internet Explorer) welches will dass ich ein AntiVirus Program runterlade (es ist SPAM). Irgendwie scheint doch noch etwas aktiv zu sein oder nicht? Wie in aller Welt werd ich das wieder los? Hat jemand einen Vorschlag? |
27.05.2008, 00:59 | #3 |
| Virtumonde => Ich brauche hilfe.... -.- Ich brauche echt hilfe,es wird einfach nicht besser...
__________________Spyware Doctor findet ständig Adware.Downloader dinger und sowas halt. Er entfernt es aber es kommt immer wieder. Hinzukommt,wenn ich mit Firefox auf imageshack.us gehe um bilder hochzuladen (ich drücke auf Durchsuchen um die Datei zu wählen),dann kommt ein Schild auf dem irgendwie was davon steht,dass Windows diese Operation unterbunden hat und danach stürtzt Firefox komplett ab,muss es mit dem Task Manager schließen! Woran liegt es? Kann mir jemand sagen was ich entfernen muss damit das endlich aufhört! |
27.05.2008, 01:09 | #4 |
| Virtumonde => Ich brauche hilfe.... -.- Nun habe ich den PC mal neu gestartet und bekam prompt diese Meldung: Des weiteren fand Spyware Doctor wieder weitere Adware dinger und einen Adware.Agent Alles wurde beseitigt,ich starte nochmal neu...wenn dann wieder viren da sind hat es keinen sinn und Spyware Doctor kann mir nicht helfen... EDIT: Ok,es ist hoffnungslos,nach jedem Neustart finde ich neue Infektionen von Adware.Advertising,Tracker Cookies und Adware.Agent Es scheint ein Virus zu existieren den ich bisher nicht gefunde habe,und der ständig seine kleinen bastarde zeugt! Womit kann ich ihn finden,Anti Vir? EDIT*: Infektion finde ich nur wieder (soweit ich das merke) nachdem ich einen Internet Browser starte (Adware.Advertising) Ich lege mich jetzt hin zum pennen,morgen früh schau ich mal wieder rein,ich hoffe ihr könnt mir helfen,ihr müsstest doch viel erfahrung damit haben -.- Schonmal ein ganz großes Danke an jeden der sich hiermit beschäftigt! Geändert von Sonic-Safais (27.05.2008 um 01:26 Uhr) |
27.05.2008, 07:48 | #5 |
| Virtumonde => Ich brauche hilfe.... -.- Guten Morgen, C:\Users\JULIUS~1\AppData\Local\Temp\opnnmMDu.dll, #1 C:\Users\JULIUS~1\AppData\Local\Temp\ljJBtrpO.dll Bitte mal bei Virustotal oder Jotti auswerten lassen! Poste das gesamte Ergebnis,auch wenn nichts gefunden wird! Wichtig sind die dort angegebene Größe und Prüfsumme! Link in meiner SIG! Wenn du nicht so voreilig gewesen wärst hättest du Dir, ich schätze mal 30 Euro(?) sparen können! Poste nach der "Bereinigung" durch Spyware Doctor bitte ein frisches HijackThis Log! |
27.05.2008, 08:19 | #6 |
| Virtumonde => Ich brauche hilfe.... -.- Die beiden Datein die du mir da genannt hast (erstmal danke fürs antworten ), existieren bei mir nicht,ich kann sie nicht finden,also auch nirgendswo hochladen... Habe Spyware Doctor laufen lassen,er hat alles entfernt (was er finden konnte) Hier das ganz frische HijackThis Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:18:18, on 27.05.2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\System32\smss.exe C:\Windows\system32\csrss.exe C:\Windows\system32\wininit.exe C:\Windows\system32\csrss.exe C:\Windows\system32\services.exe C:\Windows\system32\lsass.exe C:\Windows\system32\lsm.exe C:\Windows\system32\winlogon.exe C:\Windows\system32\svchost.exe C:\Windows\system32\nvvsvc.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\SLsvc.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\System32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Windows\system32\svchost.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\oodag.exe C:\Windows\System32\svchost.exe C:\Windows\system32\PnkBstrA.exe C:\Windows\system32\svchost.exe D:\Programme\Spyware Doctor\pctsAuxs.exe D:\Programme\Spyware Doctor\pctsSvc.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\SearchIndexer.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\rundll32.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe C:\Windows\System32\rundll32.exe C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe C:\Program Files\Common Files\Logitech\LCD Manager\LCDMon.exe D:\Programme\Spyware Doctor\pctsTray.exe C:\Programme\HP\HP Software Update\hpwuSchd2.exe C:\Programme\Razer\Copperhead\razerhid.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDClock.exe C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDCountdown.exe C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDPOP3.exe C:\Program Files\Common Files\Logitech\LCD Manager\Applets\NGists\NGists.exe C:\Windows\System32\rundll32.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\System32\rundll32.exe C:\Windows\ehome\ehtray.exe D:\Programme\DAEMON Tools Lite\daemon.exe C:\Windows\ehome\ehmsas.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Windows\ehome\ehsched.exe C:\Program Files\Windows Media Player\wmpnetwk.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Users\Julius Dombrowski\Program Files\DNA\btdna.exe C:\Windows\system32\wbem\unsecapp.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Programme\Razer\Copperhead\razertra.exe C:\Programme\Razer\Copperhead\razerofa.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Windows\ehome\ehRecvr.exe D:\Programme\Miranda SE 1.75\miranda32.exe D:\Programme\Mozilla Firefox\firefox.exe C:\Windows\system32\SearchProtocolHost.exe C:\Windows\system32\SearchFilterHost.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Windows\system32\DllHost.exe C:\Windows\system32\DllHost.exe C:\Users\Julius Dombrowski\Desktop\HJT\HiJackThis.exe C:\Windows\system32\DllHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {55F673FF-BCBE-41FD-AA27-F7DEBBEE72CC} - C:\Users\JULIUS~1\AppData\Local\Temp\ljJBtrpO.dll O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - D:\PROGRA~2\TerraTec\TERRAT~1\THCDES~1.DLL O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe" O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Common Files\Logitech\LCD Manager\LCDMon.exe" O4 - HKLM\..\Run: [ISTray] "D:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Copperhead] C:\Programme\Razer\Copperhead\razerhid.exe O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\cbXRlKcd.dll,#1 O4 - HKLM\..\Run: [f204db06] rundll32.exe "C:\Users\JULIUS~1\AppData\Local\Temp\amewuabi.dll",b O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\JULIUS~1\AppData\Local\Temp\hgGyxVOG.dll,#1 O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\JULIUS~1\AppData\Local\Temp\ljJBtrpO.dll,c O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [f204db06] rundll32.exe "C:\Users\JULIUS~1\AppData\Local\Temp\amewuabi.dll",b O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Users\Julius Dombrowski\Program Files\DNA\btdna.exe" O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O13 - Gopher Prefix: O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/Driver...sysreqlab2.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1206720462840 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - D:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe (file missing) O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe -- End of file - 9116 bytes |
27.05.2008, 08:28 | #7 |
| Virtumonde => Ich brauche hilfe.... -.- Wie du in Deinem aktuellen Log sehen kannst (bei den 04 Einträgen) sind die Dateien doch vorhanden! Hast du alles Dateien sichtbar gemacht? Klicke Start>Computer>Organisieren>Ordner und Suchoptionen>Reiter Ansicht>Hacken bei Geschützte SystemDateien ausblenden raus>Punkt bei Alle Dateien und Ordner anzeigen rein! Du kannst auch den Pfad direkt bei den entsprechenden Scanner reinkopieren und auf Send bzw. Upload klicken! Weiterhin bitte auch diese Datei Online auswerten lassen: C:\Users\JULIUS~1\AppData\Local\Temp\ljJBtrpO.dll C:\Users\JULIUS~1\AppData\Local\Temp\amewuabi.dll C:\Windows\system32\cbXRlKcd.dll C:\Users\JULIUS~1\AppData\Local\Temp\hgGyxVOG.dll |
27.05.2008, 08:41 | #8 |
| Virtumonde => Ich brauche hilfe.... -.- Okay,wir nähern uns dem Ende.... Du hast völlig recht, O2 - BHO: (no name) - {55F673FF-BCBE-41FD-AA27-F7DEBBEE72CC} - C:\Users\JULIUS~1\AppData\Local\Temp\ljJBtrpO.dll Das ist er... Ich habe zunächst einmal den Pfad eingegen um die Datei zu finden... C:\Users\JULIUS~1\AppData\Local\Temp\ljJBtrpO.dll Ich konnte sie net finden,es sind auch gar keine .dll da in dem Temp Ordner drin. Aber das hier: {55F673FF-BCBE-41FD-AA27-F7DEBBEE72CC} Was immer das auch ist,ich habe einfach mal das vor den Pfad gesetzt (bei irgend einem Explorer Fenster) und prompt bekam ich unzählige Viruswarnung von Anti Vir (welche sofort entfernt wurden) Ausserdem bekam ich viele Popups mit Malware und spam Nun zu meiner Frage,was ist das: {55F673FF-BCBE-41FD-AA27-F7DEBBEE72CC} Und wie werd ich ihn los? EDIT: OK ok,ich bin dran,hab die links einfach da reinkopiert,Auswertung findet gerade statt,poste in wenigen Minuten die Ergebnisse Okay here we go: C:\Users\JULIUS~1\AppData\Local\Temp\ljJBtrpO.dll weitere Informationen File size: 371200 bytes MD5...: f772d8f4a0867447898827f13358e5e0 SHA1..: 731732cdd72b48bd86a175dd0d7eea89ee8234ec SHA256: 2c0246be87e6a416a9f25b62d517a29fdce85b669efd3565bf864e35526b3645 SHA512: 7a0eb3ee19df6b9edcacf559f70184725e9b63a81a61a0cd1d4c63dc1de9e63f 1eed21ea1e47c0f4f8cd786936ac497c2b997b140117644350b6d0c04fbb465b C:\Users\JULIUS~1\AppData\Local\Temp\amewuabi.dll C:\Windows\system32\cbXRlKcd.dll C:\Users\JULIUS~1\AppData\Local\Temp\hgGyxVOG.dll Geändert von Sonic-Safais (27.05.2008 um 08:55 Uhr) |
27.05.2008, 09:18 | #9 |
| Virtumonde => Ich brauche hilfe.... -.- OK, das nächste mal aber die Scanns abwarten..... Mache bitte folgendes: Malwarebytes Anti-Malware! Wenn möglich, würde ich den Abgesicherten Modus vorziehen! Lasse alles antfernen, was gefunden wird und Poste das Log von Malwarebytes! Im Anschluss: Lade dir bitte Combofix Ein Leitfaden und Tutorium zur Nutzung von ComboFix - deaktiviere den Hintergrundwächter deines Antivirenprogramms - halte während des scans alle Programme geschlossen - benutze während des scans deinen Rechner nicht - evtl. startet dein Rechner neu, poste im Anschluss bitte das Log von Combofix |
27.05.2008, 10:13 | #10 |
| Virtumonde => Ich brauche hilfe.... -.- DAnke Mellosun, du warst mir eine Echte Hilfe!!! Es scheint als wäre der Virus komplett entfernt worden,hier die Logs wie es wolltest: Malwarebytes' Anti-Malware 1.12 Datenbank Version: 789 Scan Art: Komplett Scan (C:\|) Objekte gescannt: 104926 Scan Dauer: 11 minute(s), 11 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 1 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 2 Infizierte Datei Objekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 5 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: C:\Users\Julius Dombrowski\AppData\Local\Temp\ljJBtrpO.dll (Trojan.Vundo) -> Unloaded module successfully. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{eb3cbf0f-d024-4c24-bd35-ddad5f234ca7} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{eb3cbf0f-d024-4c24-bd35-ddad5f234ca7} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{54018e98-10e3-46c6-9673-2999253f9c65} (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSServer (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{54018e98-10e3-46c6-9673-2999253f9c65} (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Datei Objekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\users\julius~1\appdata\local\temp\ljjbtrpo -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\Users\Julius Dombrowski\AppData\Local\Temp\ljJBtrpO.dll (Trojan.Vundo) -> Delete on reboot. C:\Users\Julius Dombrowski\AppData\Local\Temp\OprtBJjl.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Users\Julius Dombrowski\AppData\Local\Temp\OprtBJjl.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Users\Julius Dombrowski\AppData\Local\Temp\pmnnKEUm.dll (Trojan.Agent) -> Delete on reboot. C:\Windows\System32\cbXRlKcd.dll (Trojan.Vundo) -> Quarantined and deleted successfully. ==> Vielleicht wichtig zu erwähnen,nachdem ich den PC wieder im normalen Modus hochfuhr (ich hatte die beiden Programme,welche du mir empfohlen hattest,im Abesicherten Modus ausgeführt) hab ich Spyware Doctor suchen lassen,er fand noch 2 weitere kleine viren die entfernt wurden... Mal hoffen das es jetzt endlich vorbei ist,jetz wo die Wurzel (hoffentlich) entfernt wurde. Noch ein kosmetisches Problem bleibt: Wie werd ich dir hier los? |
27.05.2008, 10:16 | #11 |
| Virtumonde => Ich brauche hilfe.... -.- Und hier im Anhang (weils zu lang ist) der ComboFix log Hier nochmal ein HijackThis Log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:18:12, on 27.05.2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\System32\smss.exe C:\Windows\system32\csrss.exe C:\Windows\system32\wininit.exe C:\Windows\system32\csrss.exe C:\Windows\system32\services.exe C:\Windows\system32\lsass.exe C:\Windows\system32\lsm.exe C:\Windows\system32\svchost.exe C:\Windows\system32\nvvsvc.exe C:\Windows\system32\winlogon.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\SLsvc.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\System32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Windows\system32\svchost.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\oodag.exe C:\Windows\System32\svchost.exe C:\Windows\system32\PnkBstrA.exe C:\Windows\system32\svchost.exe D:\Programme\Spyware Doctor\pctsAuxs.exe D:\Programme\Spyware Doctor\pctsSvc.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\SearchIndexer.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\rundll32.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe C:\Windows\System32\rundll32.exe C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe C:\Program Files\Common Files\Logitech\LCD Manager\LCDMon.exe D:\Programme\Spyware Doctor\pctsTray.exe C:\Programme\HP\HP Software Update\hpwuSchd2.exe C:\Programme\Razer\Copperhead\razerhid.exe C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDCountdown.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDPOP3.exe C:\Program Files\Common Files\Logitech\LCD Manager\Applets\NGists\NGists.exe C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDClock.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\ehome\ehtray.exe D:\Programme\DAEMON Tools Lite\daemon.exe C:\Windows\ehome\ehmsas.exe C:\Users\Julius Dombrowski\Program Files\DNA\btdna.exe C:\Program Files\Windows Media Player\wmpnetwk.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\ehome\ehsched.exe C:\Windows\system32\wbem\unsecapp.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Programme\Razer\Copperhead\razertra.exe C:\Programme\Razer\Copperhead\razerofa.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Windows\ehome\ehRecvr.exe D:\Programme\Miranda SE 1.75\miranda32.exe D:\Programme\Mozilla Firefox\firefox.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\DllHost.exe C:\Windows\system32\DllHost.exe C:\Users\Julius Dombrowski\Desktop\HJT\HiJackThis.exe C:\Windows\system32\DllHost.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - D:\PROGRA~2\TerraTec\TERRAT~1\THCDES~1.DLL O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe" O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\cbXRlKcd.dll,#1 O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Common Files\Logitech\LCD Manager\LCDMon.exe" O4 - HKLM\..\Run: [ISTray] "D:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [f204db06] rundll32.exe "C:\Users\JULIUS~1\AppData\Local\Temp\amewuabi.dll",b O4 - HKLM\..\Run: [Copperhead] C:\Programme\Razer\Copperhead\razerhid.exe O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\JULIUS~1\AppData\Local\Temp\ljJBtrpO.dll,c O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Users\Julius Dombrowski\Program Files\DNA\btdna.exe" O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O13 - Gopher Prefix: O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/Driver...sysreqlab2.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1206720462840 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - D:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe (file missing) O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe -- End of file - 8401 bytes |
27.05.2008, 10:32 | #12 |
| Virtumonde => Ich brauche hilfe.... -.- OK, die Fehlermeldungen kommen wegen noch vorhander Schlüssel in der Registry! Da ich mich mit Combofix und das Script schreiben dafür nicht wirklich auskenne, würde ich vorschlagen, du löscht die Schlüssel per Hand! Zuerst würde ich im Autostart nachsehen, on noch was vorhanden ist! Start>Ausführen>msconfig eintippen>Enter>Reiter Autostart Such nach Einträgen, die Dir unbekannt sind und die auf die entsprechende Dateien hindeuten! Sollten noch welche vorhanden sein, nehme sie aus dem Autostart (Hacken entfernen) Gehe dannach in die Registry von Vista! Start>Ausführen>Regedit eingeben und Enter! Mach ein Backup der Registry umd Probleme zu vermeiden! (Datei>Exportieren) Navigiere zu folgenden Schlüssel und Lösche sie! [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cmds] C:\Users\JULIUS~1\AppData\Local\Temp\ljJBtrpO.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\f204db06] C:\Users\JULIUS~1\AppData\Local\Temp\amewuabi.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSServer] C:\Windows\system32\cbXRlKcd.dll Starte dannach den Rechner neu! Lade Dir CCleaner (Google hilft) Installiere es und pass bei der Install auf, das du die Toolbar nicht mit Installierst! Lasse CCleaner laufen...eine Anleitung gibt es Hier Dann sollten die Probs weg sein...... Berichte und bitte noch nen neues HijackThis Log nach den Schritten! |
27.05.2008, 11:00 | #13 |
| Virtumonde => Ich brauche hilfe.... -.- So mein bester,du bist ein Genie,hast du dir das alles selber beigebracht? Ich habe tatsächlich die 3 Einträge im Startmenü bei MSConfig gefunden und sie prompt entfernt. Keine lästigen Fenster mehr beim hochfahren Die Werte in der Registry hab ich entfernt,somit werden sie nicht mehr bei MSConfig angezeigt Auch Spyware Doctor (ich muss sagen,es war das einzige Programm was mir wirklich sagen was konnte was ich habe,auch wenn es nicht alles entfernen konnte,AntiVir war keine große Hilfe...) Zeigt mir grünes Licht. Ich habe jetzt mal nicht CCleaner druff gemacht,ich sehe keine notwendigkeit mehr dafür,da alles so läuft wie es soll und keine infektionen mehr da sind (denk ich ^^ ). Also hier nochmal das frischeste vom frischen HiJackThis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:00:14, on 27.05.2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\System32\smss.exe C:\Windows\system32\csrss.exe C:\Windows\system32\wininit.exe C:\Windows\system32\csrss.exe C:\Windows\system32\services.exe C:\Windows\system32\lsass.exe C:\Windows\system32\lsm.exe C:\Windows\system32\svchost.exe C:\Windows\system32\winlogon.exe C:\Windows\system32\nvvsvc.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\SLsvc.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\System32\spoolsv.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Windows\system32\svchost.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\oodag.exe C:\Windows\System32\svchost.exe C:\Windows\system32\PnkBstrA.exe C:\Windows\system32\svchost.exe D:\Programme\Spyware Doctor\pctsAuxs.exe D:\Programme\Spyware Doctor\pctsSvc.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\SearchIndexer.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\rundll32.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe C:\Windows\System32\rundll32.exe C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe C:\Program Files\Common Files\Logitech\LCD Manager\LCDMon.exe D:\Programme\Spyware Doctor\pctsTray.exe C:\Programme\HP\HP Software Update\hpwuSchd2.exe C:\Programme\Razer\Copperhead\razerhid.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDClock.exe C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDCountdown.exe C:\Program Files\Common Files\Logitech\LCD Manager\Applets\LCDPOP3.exe C:\Program Files\Common Files\Logitech\LCD Manager\Applets\NGists\NGists.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\ehome\ehtray.exe D:\Programme\DAEMON Tools Lite\daemon.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\Windows Media Player\wmpnetwk.exe C:\Users\Julius Dombrowski\Program Files\DNA\btdna.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Windows\ehome\ehsched.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\system32\wbem\unsecapp.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Programme\Razer\Copperhead\razertra.exe C:\Programme\Razer\Copperhead\razerofa.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Windows\ehome\ehRecvr.exe D:\Programme\Mozilla Firefox\firefox.exe \?\C:\Windows\system32\wbem\WMIADAP.EXE C:\Windows\system32\SearchProtocolHost.exe C:\Windows\system32\SearchFilterHost.exe C:\Users\Julius Dombrowski\Desktop\HJT\HiJackThis.exe C:\Windows\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - D:\PROGRA~2\TerraTec\TERRAT~1\THCDES~1.DLL O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe" O4 - HKLM\..\Run: [OODefragTray] C:\Windows\system32\oodtray.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Common Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Common Files\Logitech\LCD Manager\LCDMon.exe" O4 - HKLM\..\Run: [ISTray] "D:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Copperhead] C:\Programme\Razer\Copperhead\razerhid.exe O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Users\Julius Dombrowski\Program Files\DNA\btdna.exe" O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O13 - Gopher Prefix: O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/Driver...sysreqlab2.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1206720462840 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - D:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe (file missing) O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe -- End of file - 8085 bytes Ganz massives Danke an dich Mellosun,wenn wir uns mal sehen,geb ich dir nen Bier aus Geändert von Sonic-Safais (27.05.2008 um 11:07 Uhr) |
27.05.2008, 11:34 | #14 |
| Virtumonde => Ich brauche hilfe.... -.- Erstmal Danke für die Blumen.... Aber das hat nix mit Genie zutun....im Gegenteil! Einige User hier wären wahrscheinlich mit ein oder zwei Schritten weniger am Ziel gewesen! Bin noch nicht soweit, was man doch noch häufig merkt! Ja, viel lesen, versuchen zu verstehen und die Schritte nachvollziehen ist das wichtigste dabei! Wenn alles ok ist, freut es mich...aber Bier trinke ich leider net! Aber nehm gern ne Cola oder sowas! Gruß Mello |
27.05.2008, 11:51 | #15 |
| Virtumonde => Ich brauche hilfe.... -.- Wie du trinkst kein Bier? Generell kein Alkohol oder liegts nur am Bier? ^^ Egal,wir würden was finden :P danke für die Hilfe nochmal. |
Themen zu Virtumonde => Ich brauche hilfe.... -.- |
32-bit, ad-aware, adobe, antivir, antivirus, antivirus scan, avira, bho, combofix, defender, desktop, entfernen, explorer, firefox, hijack, hijackthis, hijackthis log, internet, internet explorer, launch, local\temp, mozilla, mozilla firefox, object, remote control, rundll, software, system, temp, virtumonde, vista, windows, windows defender, windows sidebar |