Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: was ist den nun los

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.06.2008, 11:04   #16
zenx
 
was ist den nun los - Standard

was ist den nun los



moin moin

also die versteckten ordner musste ich nicht mehr ändern unter arbeitsplatz<extras<optionen .....

danach hab ich alles soweit geändert

unter der C:\WINDOWS\system32\KGyGaAvL.sys kam folgendes log :

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.06.05 -
AntiVir 7.8.0.55 2008.06.06 -
Authentium 5.1.0.4 2008.06.06 -
Avast 4.8.1195.0 2008.06.07 -
AVG 7.5.0.516 2008.06.06 -
BitDefender 7.2 2008.06.07 -
CAT-QuickHeal 9.50 2008.06.07 -
ClamAV 0.92.1 2008.06.07 -
DrWeb 4.44.0.09170 2008.06.07 -
eSafe 7.0.15.0 2008.06.05 -
eTrust-Vet 31.6.5855 2008.06.06 -
Ewido 4.0 2008.06.06 -
F-Prot 4.4.4.56 2008.06.06 -
F-Secure 6.70.13260.0 2008.06.06 -
Fortinet 3.14.0.0 2008.06.07 -
GData 2.0.7306.1023 2008.06.07 -
Ikarus T3.1.1.26.0 2008.06.07 -
Kaspersky 7.0.0.125 2008.06.07 -
McAfee 5312 2008.06.06 -
Microsoft 1.3604 2008.06.07 -
NOD32v2 3165 2008.06.06 -
Norman 5.80.02 2008.06.06 -
Panda 9.0.0.4 2008.06.06 -
Prevx1 V2 2008.06.07 -
Rising 20.47.42.00 2008.06.06 -
Sophos 4.30.0 2008.06.07 -
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.07 -
TheHacker 6.2.92.339 2008.06.07 -
VBA32 3.12.6.7 2008.06.06 -
VirusBuster 4.3.26:9 2008.06.06 -
Webwasher-Gateway 6.6.2 2008.06.06 -
weitere Informationen
File size: 2828 bytes
MD5...: 21eff68199b6b633c1871a3499fc0a8e
SHA1..: 37aa11e091f5714dd1dbe92eb1f5e704b7006515
SHA256: be7c046bcf256b88f50bae912a235da045ca3dc7c4ab985ff03aef40a288fdce
SHA512: 83c2fa1c573109df1b190928fde4c6a1f847bca0499a1ad961eae04b6c1d6893
d44394fff3723e5c23b5e8f41048c6e921bbc23f804da115dff4a67ee48fc706
PEiD..: -
PEInfo: -


C:\WINDOWS\system32\FB43B021D1.sys
hier das log :

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.06.05 -
AntiVir 7.8.0.55 2008.06.06 -
Authentium 5.1.0.4 2008.06.06 -
Avast 4.8.1195.0 2008.06.07 -
AVG 7.5.0.516 2008.06.06 -
BitDefender 7.2 2008.06.07 -
CAT-QuickHeal 9.50 2008.06.07 -
ClamAV 0.92.1 2008.06.07 -
DrWeb 4.44.0.09170 2008.06.07 -
eSafe 7.0.15.0 2008.06.05 -
eTrust-Vet 31.6.5853 2008.06.06 -
Ewido 4.0 2008.06.06 -
F-Prot 4.4.4.56 2008.06.06 -
F-Secure 6.70.13260.0 2008.06.06 -
Fortinet 3.14.0.0 2008.06.07 -
GData 2.0.7306.1023 2008.06.07 -
Ikarus T3.1.1.26.0 2008.06.07 -
Kaspersky 7.0.0.125 2008.06.07 -
McAfee 5312 2008.06.06 -
Microsoft 1.3604 2008.06.07 -
NOD32v2 3165 2008.06.06 -
Norman 5.80.02 2008.06.06 -
Panda 9.0.0.4 2008.06.06 -
Prevx1 V2 2008.06.07 -
Rising 20.47.42.00 2008.06.06 -
Sophos 4.30.0 2008.06.07 -
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.07 -
TheHacker 6.2.92.339 2008.06.07 -
VBA32 3.12.6.7 2008.06.06 -
VirusBuster 4.3.26:9 2008.06.06 -
Webwasher-Gateway 6.6.2 2008.06.06 -
weitere Informationen
File size: 88 bytes
MD5...: 9e66780e7a7a9dccfbada82ec840d427
SHA1..: 1fb52f74e58122afe299849eb97beb46f14158f3
SHA256: 55379334f95f249ee4d30b7c51d91b2f098442a98121b5abdff842b7f33eba1c
SHA512: 521fb828c3697704ebc3e1b3e0da9562119b9fb8897ae70185ce16d80539337c
1cab3e10f9d1d0dfef66f0606b7547fc50d2db5220631b876220fe79f3ee0d05
PEiD..: -
PEInfo: -


I:\preinst.exe bei dieser datei hab ichfolgendes problem
das I nicht einer patition von mir entspricht also hab ich die datei per windows suche auf meinem system gesucht gefunden und gechecked
hier das log dazu

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.06.05 -
AntiVir 7.8.0.55 2008.06.06 -
Authentium 5.1.0.4 2008.06.06 -
Avast 4.8.1195.0 2008.06.07 -
AVG 7.5.0.516 2008.06.06 -
BitDefender 7.2 2008.06.07 -
CAT-QuickHeal 9.50 2008.06.07 -
ClamAV 0.92.1 2008.06.07 -
DrWeb 4.44.0.09170 2008.06.07 -
eSafe 7.0.15.0 2008.06.05 -
eTrust-Vet 31.6.5855 2008.06.06 -
Ewido 4.0 2008.06.06 -
F-Prot 4.4.4.56 2008.06.06 -
F-Secure 6.70.13260.0 2008.06.06 -
Fortinet 3.14.0.0 2008.06.07 -
GData 2.0.7306.1023 2008.06.07 -
Ikarus T3.1.1.26.0 2008.06.07 -
Kaspersky 7.0.0.125 2008.06.07 -
McAfee 5312 2008.06.06 -
Microsoft 1.3604 2008.06.07 -
NOD32v2 3165 2008.06.06 -
Norman 5.80.02 2008.06.06 -
Panda 9.0.0.4 2008.06.06 -
Prevx1 V2 2008.06.07 -
Rising 20.47.42.00 2008.06.06 -
Sophos 4.30.0 2008.06.07 -
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.07 -
TheHacker 6.2.92.339 2008.06.07 -
VBA32 3.12.6.7 2008.06.06 -
VirusBuster 4.3.26:9 2008.06.06 -
Webwasher-Gateway 6.6.2 2008.06.06 -
weitere Informationen
File size: 63488 bytes
MD5...: 55fab519b004e799d9de5ca608ce4e22
SHA1..: 2c2aba5b4edf7c5d32455fa5d489915bdf917b02
SHA256: 2dee595b0b85a9a2ef7a469fac81e332c6925cf83b9413d343605b4d93d8064f
SHA512: 17a883719018ec4c941f9453f397e3d3d0efda751302a0570a5c6cc37aa76b97
8adf9a2110f51ecd0202e2f6ed37eb424406147a8e7f2f473474c2497dbe25d4
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1005bc6
timedatestamp.....: 0x4263bc0d (Mon Apr 18 13:54:21 2005)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd810 0xda00 6.54 a8a242d23e5b34c3d2d51f3d7950cce1
.data 0xf000 0x7e8 0x200 4.07 ab3d241e8d05c89ab906bc2c53af9506
.rsrc 0x10000 0x16a0 0x1800 3.08 2c5578f348ca86caaae406b1b13cd50a

( 6 imports )
> msvcrt.dll: div, _ftol, isdigit, isalnum, isxdigit, vsprintf, _strlwr, _stricmp, strncpy, strchr, strstr, _vsnprintf, _except_handler3, _onexit, __dllonexit, _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _cexit, _XcptFilter, _exit, _c_exit, strrchr, sprintf, strtok, atoi, __2@YAPAXI@Z, _strupr, __3@YAXPAX@Z
> ADVAPI32.dll: RegCloseKey, RegQueryValueExA, RegOpenKeyExA, RegSetValueExA
> KERNEL32.dll: GlobalAlloc, GlobalFree, GetProcAddress, MultiByteToWideChar, WideCharToMultiByte, FindFirstFileA, FindNextFileA, FindClose, GetCurrentThreadId, GetTickCount, GetPrivateProfileSectionA, GetPrivateProfileStringA, GetModuleFileNameA, CloseHandle, CreateProcessA, GetCurrentProcess, GetDriveTypeA, DeviceIoControl, GetLastError, CreateFileA, SetFileAttributesA, CopyFileA, GetWindowsDirectoryA, GetVersionExA, CreateDirectoryA, CreateSemaphoreA, ReleaseSemaphore, GetThreadLocale, FreeLibrary, LoadLibraryA, GetCommandLineA, GetModuleHandleA, GetStartupInfoA, GetCurrentDirectoryA, SetCurrentDirectoryA, SetErrorMode, GetFileAttributesA, DeleteCriticalSection, EnterCriticalSection, OutputDebugStringA, LeaveCriticalSection, InitializeCriticalSection
> USER32.dll: IsWindowVisible, PostQuitMessage, GetMessageA, IsDialogMessageA, PostMessageA, GetDlgItem, ShowWindow, EndDialog, GetDC, DestroyWindow, GetSysColorBrush, SetTimer, KillTimer, MessageBoxA, SetWindowsHookExA, UnhookWindowsHookEx, PeekMessageA, DispatchMessageA, GetWindowThreadProcessId, CreateDialogParamA, CallNextHookEx, DialogBoxParamA, GetWindowLongA, SetWindowLongA, GetDlgCtrlID, GetParent, SendMessageA, GetForegroundWindow, TranslateMessage, EnumChildWindows, SetWindowPos, GetClientRect, EndPaint, BeginPaint, GetCursorPos, GetDialogBaseUnits, GetWindowRect, GetSystemMetrics, SetWindowRgn, CopyImage, GetSysColor, GetWindowTextLengthA, ReleaseDC, SetWindowTextA, wsprintfA
> SHELL32.dll: ShellExecuteA
> GDI32.dll: SetTextColor, SetBkColor, GetStockObject, CreateFontIndirectA, TextOutA, GetPixel, DeleteDC, CombineRgn, DeleteObject, SetBkMode, GetTextExtentPoint32A, SelectObject, GetObjectA, CreateCompatibleDC, CreateRectRgn

( 0 exports )

damit die antwort nicht zu lang wird werde ich nun mit GMER weiter machen und eine neue antwort dazu schreiben

zenx

Alt 07.06.2008, 11:24   #17
zenx
 
was ist den nun los - Standard

was ist den nun los



soderle auf dein GMER link konnt ich leider GMER net loaden hab mir per google was von chip geladen
gmer 1.0.14 soweit ich seh
jedenfalls hab ich den scan durch laufen lassen und hab alle partitionen bei mir ausgewählt (damit du/ihr wisst wie ich vorgegangen bin)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.30.1 2008.06.05 -
AntiVir 7.8.0.55 2008.06.06 -
Authentium 5.1.0.4 2008.06.06 -
Avast 4.8.1195.0 2008.06.07 -
AVG 7.5.0.516 2008.06.06 -
BitDefender 7.2 2008.06.07 -
CAT-QuickHeal 9.50 2008.06.07 -
ClamAV 0.92.1 2008.06.07 -
DrWeb 4.44.0.09170 2008.06.07 -
eSafe 7.0.15.0 2008.06.05 -
eTrust-Vet 31.6.5855 2008.06.06 -
Ewido 4.0 2008.06.06 -
F-Prot 4.4.4.56 2008.06.06 -
F-Secure 6.70.13260.0 2008.06.06 -
Fortinet 3.14.0.0 2008.06.07 -
GData 2.0.7306.1023 2008.06.07 -
Ikarus T3.1.1.26.0 2008.06.07 -
Kaspersky 7.0.0.125 2008.06.07 -
McAfee 5312 2008.06.06 -
Microsoft 1.3604 2008.06.07 -
NOD32v2 3165 2008.06.06 -
Norman 5.80.02 2008.06.06 -
Panda 9.0.0.4 2008.06.06 -
Prevx1 V2 2008.06.07 -
Rising 20.47.42.00 2008.06.06 -
Sophos 4.30.0 2008.06.07 -
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.07 -
TheHacker 6.2.92.339 2008.06.07 -
VBA32 3.12.6.7 2008.06.06 -
VirusBuster 4.3.26:9 2008.06.06 -
Webwasher-Gateway 6.6.2 2008.06.06 -
weitere Informationen
File size: 63488 bytes
MD5...: 55fab519b004e799d9de5ca608ce4e22
SHA1..: 2c2aba5b4edf7c5d32455fa5d489915bdf917b02
SHA256: 2dee595b0b85a9a2ef7a469fac81e332c6925cf83b9413d343605b4d93d8064f
SHA512: 17a883719018ec4c941f9453f397e3d3d0efda751302a0570a5c6cc37aa76b97
8adf9a2110f51ecd0202e2f6ed37eb424406147a8e7f2f473474c2497dbe25d4
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1005bc6
timedatestamp.....: 0x4263bc0d (Mon Apr 18 13:54:21 2005)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd810 0xda00 6.54 a8a242d23e5b34c3d2d51f3d7950cce1
.data 0xf000 0x7e8 0x200 4.07 ab3d241e8d05c89ab906bc2c53af9506
.rsrc 0x10000 0x16a0 0x1800 3.08 2c5578f348ca86caaae406b1b13cd50a

( 6 imports )
> msvcrt.dll: div, _ftol, isdigit, isalnum, isxdigit, vsprintf, _strlwr, _stricmp, strncpy, strchr, strstr, _vsnprintf, _except_handler3, _onexit, __dllonexit, _controlfp, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _cexit, _XcptFilter, _exit, _c_exit, strrchr, sprintf, strtok, atoi, __2@YAPAXI@Z, _strupr, __3@YAXPAX@Z
> ADVAPI32.dll: RegCloseKey, RegQueryValueExA, RegOpenKeyExA, RegSetValueExA
> KERNEL32.dll: GlobalAlloc, GlobalFree, GetProcAddress, MultiByteToWideChar, WideCharToMultiByte, FindFirstFileA, FindNextFileA, FindClose, GetCurrentThreadId, GetTickCount, GetPrivateProfileSectionA, GetPrivateProfileStringA, GetModuleFileNameA, CloseHandle, CreateProcessA, GetCurrentProcess, GetDriveTypeA, DeviceIoControl, GetLastError, CreateFileA, SetFileAttributesA, CopyFileA, GetWindowsDirectoryA, GetVersionExA, CreateDirectoryA, CreateSemaphoreA, ReleaseSemaphore, GetThreadLocale, FreeLibrary, LoadLibraryA, GetCommandLineA, GetModuleHandleA, GetStartupInfoA, GetCurrentDirectoryA, SetCurrentDirectoryA, SetErrorMode, GetFileAttributesA, DeleteCriticalSection, EnterCriticalSection, OutputDebugStringA, LeaveCriticalSection, InitializeCriticalSection
> USER32.dll: IsWindowVisible, PostQuitMessage, GetMessageA, IsDialogMessageA, PostMessageA, GetDlgItem, ShowWindow, EndDialog, GetDC, DestroyWindow, GetSysColorBrush, SetTimer, KillTimer, MessageBoxA, SetWindowsHookExA, UnhookWindowsHookEx, PeekMessageA, DispatchMessageA, GetWindowThreadProcessId, CreateDialogParamA, CallNextHookEx, DialogBoxParamA, GetWindowLongA, SetWindowLongA, GetDlgCtrlID, GetParent, SendMessageA, GetForegroundWindow, TranslateMessage, EnumChildWindows, SetWindowPos, GetClientRect, EndPaint, BeginPaint, GetCursorPos, GetDialogBaseUnits, GetWindowRect, GetSystemMetrics, SetWindowRgn, CopyImage, GetSysColor, GetWindowTextLengthA, ReleaseDC, SetWindowTextA, wsprintfA
> SHELL32.dll: ShellExecuteA
> GDI32.dll: SetTextColor, SetBkColor, GetStockObject, CreateFontIndirectA, TextOutA, GetPixel, DeleteDC, CombineRgn, DeleteObject, SetBkMode, GetTextExtentPoint32A, SelectObject, GetObjectA, CreateCompatibleDC, CreateRectRgn

( 0 exports )


so nun noch das hj log

Logfile of HijackThis v1.99.1
Scan saved at 12:18:36, on 08.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\QuickTime\qttask.exe
D:\Programme\Winamp\winampa.exe
d:\Programme\Logitech\MouseWare\system\em_exec.exe
F:\Programme\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
C:\Programme\Gemeinsame Dateien\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\mpi\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: UR-Radio Toolbar - {9b166607-8e4a-409d-bcc7-b319cb9d304a} - C:\Programme\UR-Radio\tbUR-0.dll
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MorpheusToolbar BHO - {3F3714A1-89A4-46be-8AF3-D0C9D1FB03F9} - C:\Programme\MorpheusBar\bar\1.bin\MORPHBAR.DLL
O2 - BHO: Burn4Free Toolbar Helper - {60BF5EE3-0105-4858-AD98-17C19F86B042} - C:\Programme\Burn4Free Toolbar\v3.3.0.0\Burn4Free_Toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: UR-Radio Toolbar - {9b166607-8e4a-409d-bcc7-b319cb9d304a} - C:\Programme\UR-Radio\tbUR-0.dll
O3 - Toolbar: UR-Radio Toolbar - {9b166607-8e4a-409d-bcc7-b319cb9d304a} - C:\Programme\UR-Radio\tbUR-0.dll
O3 - Toolbar: Morpheus Toolbar - {3F3714A9-89A4-46be-8AF3-D0C9D1FB03F9} - C:\Programme\MorpheusBar\bar\1.bin\MORPHBAR.DLL
O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - C:\Programme\Burn4Free Toolbar\v3.3.0.0\Burn4Free_Toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "d:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Corel File Shell Monitor] F:\Programme\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Windows Messanger Control Center] svchosl.exe
O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Programme\Gemeinsame Dateien\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "D:\ICQ6\ICQ.exe" silent
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169724472421
O16 - DPF: {6E718D87-6909-4FCE-92D4-EDCB2F725727} (Navigram Control) - h**p://www.navigram.com/engine/v910/Navigram.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


soderle hoffe habe alle links gekillt

desweiteren noch eine info die mir auffällt der flashplyer will sich immer wieder bei mir aktualisieren darf ich dem zu stimmen oder sollt ich das vorerst noch so belassen?

danke für all die hilfe

tu mir leid sunny wegen den links in einer meiner letzten antworten hoffe das ich nun nicht gegen die boardregeln verstoße

ich bednke michauch weiter hin für deine mühen chris
und ganz nebenbei bei dem was die logs ausspucken hätte ich überaupt keine ahnung mehrdeshalb bin ich froh das es so leute wie dich git und vielen lieben dank noch mal

ich hoff das wir das problem bei mir bald schnell gelöst haben

greetings

zenx
__________________


Alt 08.06.2008, 10:26   #18
Chris4You
 
was ist den nun los - Standard

was ist den nun los



Hi,

die svchosl.exe ist wieder da, gmer hat bei combofix nichts gefunden, trotzdem tauch sie immer wieder nach dem Löschen auf (da wird wohl irgendwo was laufen, was wir nicht sehen)....

Download Registry Search by Bobbi Flekman
RegSearch
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

svchosl.exe

in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text

Stelle Antivir wie folgt ein und scanne das gesamte System (alle Festplatten):
Antivir, die Heuristik und Bootcd, die aggressive Variante - Virus Hilfe

Scanne das gesamte System (alle Festplatten)mit PrevX, und poste den Report: Prevx CSI - FREE Malware Scanner

Deine Javasoftware ist veraltet,
Download jre-6u6-windows-i586-p.exe
Scrolle runter nach ---->Java Runtime Environment (JRE) 6u6
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze ein Haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch Deinen Webbrowser
Über "Start -> Einstellungen -> Systemsteuerung -> Software
entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u6-windows-i586-p.exe”

chris
__________________
__________________

Antwort

Themen zu was ist den nun los
abgesicherten modus, adobe, antivir, auf einmal, avg, avira, bho, bonjour, computer, control center, exe, explorer, google, helfen, hijack, hijackthis, internet, internet explorer, object, problem, rundll, software, starten, system, unknown file in winsock lsp, urlsearchhook, virus, windows, windows xp, wurm




Zum Thema was ist den nun los - moin moin also die versteckten ordner musste ich nicht mehr ändern unter arbeitsplatz<extras<optionen ..... danach hab ich alles soweit geändert unter der C:\WINDOWS\system32\KGyGaAvL.sys kam folgendes log : Antivirus Version letzte - was ist den nun los...
Archiv
Du betrachtest: was ist den nun los auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.