Hallo,


@ trojan-death : Schaust Du Dir die Ergebnisse noch an?

Vielleicht hast es ja vergessen..?

Oder gern' kann auch wer anderes mir weiterhelfen und sich die letzten Ergebnisse ansehen.. Danke schonmal.


LG

Hi

Na klar schau ich mir die noch an

Bitte hol dir das Tool Avanger

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

files to delete:
C:\WINDOWS\system32\krjcdteu.dll
C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Mach bitte noch folgendes:

VundoFix:
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "fixvundo" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.
*C:\VundoFix Backups - löschen + Papierkorb leeren

Hallo,

Avenger habe ich laufen lassen, so wie Du es beschrieben hast. Hier die Textdatei:


Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\krjcdteu.dll" deleted successfully.
File "C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Das mit e-scan hört sich für mich etwas zu kompliziert an, vonwegen im abgesicherten Modus etc. ?? Nicht, das da etwas schief läuft...


Danke Dir..

So, habe Vundofix auf's Desktop geladen und nach Deiner Anleitung ausgeführt. Es wurde aber nichts gefunden! Hier das Ergebnis:


VundoFix V7.0.5

Scan started at 12:09:14 13.06.2008

Listing files found while scanning....

No infected files were found.


Kann ich nun annehmen, dass der PC wieder sauber ist?

MfG

Sehr gut

Noch ein letztes HijackThis Logfile zur überprüfung und dann wars das

Ausser du hast immer noch irgendwelche Probleme

Hallo,

Hier das HJT Logfile:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:11:49, on 13.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0007)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\netdde.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\Saturn\Eigene Dateien\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Wein-Plus - {F16E9E5F-92DD-4000-8701-FBDD48F24B86} - C:\WINDOWS\system32\iebarget.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Zoom &In* - C:\Dokumente und Einstellungen\Saturn\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuzoomin.htm
O8 - Extra context menu item: Zoom &Out* - C:\Dokumente und Einstellungen\Saturn\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuzoomout.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Programme\AWS\WeatherBug\Weather.exe (file missing) (HKCU)
O9 - Extra button: eBay - {DD1A0E5E-8058-46BB-9F9D-703A1418924C} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - h**p://w*w.king.com/ctl/kingcomie.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) -h**p://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/webplayer/stage6/windows/AutoDLDivXWebPlayerInstaller.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1163937337218
O16 - DPF: {A243F6C2-34D2-4549-BCCD-A7BEF759B236} (Seekford Solutions, Inc.'s ssiPictureUploader Control) - h**p://img.funtigo.com/images/uploader/ssiPictureUploader.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - h**p://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) -h**p://minerva.axiscam.net:8000/activex/AMC.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F554} (Flatcast Viewer 4.16) - h**p://www.flatcast.info/objects/NpFv41629.dll
O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\ACS.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O24 - Desktop Component 0: (no name) - h**p://www.diaryofdreams.de/downloads/dod_ngr_02_1280x1024.jpg

--
End of file - 9527 bytes

Wiso is da immer noch so n Zeug drin...

Also folgende Einträge fixen:

O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Programme\AWS\WeatherBug\Weather.exe (file missing) (HKCU) (Bitte danach, nach der Datei suchen!!!!)
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O24 - Desktop Component 0: (no name) - h**p://www.diaryofdreams.de/downloads/dod_ngr_02_1280x1024.jpg

Kennst du diese internet Seiten?

O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F554} (Flatcast Viewer 4.16) - h**p://www.flatcast.info/objects/NpFv41629.dll
O16 - DPF: {A243F6C2-34D2-4549-BCCD-A7BEF759B236} (Seekford Solutions, Inc.'s ssiPictureUploader Control) - h**p://img.funtigo.com/images/uploader/ssiPictureUploader.cab
Wenn nicht, fixen

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:

Zitat:

folders to delete:
C:\Programme\Gemeinsame Dateien\BOONTY Shared

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Hallo

Das Avenger habe ich doch heute ausgeführt.. Siehe das Post mit dem Ergebnis von heute dazu..

Was ist genau mit Dateien fixen gemeint? Soll ich diese suchen und dann per Rechtsklick löschen??

Nein, die Internetseiten sagen mir im Moment nichts..

Es ist doch zum ausflippen!

Zitat:

Zitat von Allegra

Hallo

Das Avenger habe ich doch heute ausgeführt.. Siehe das Post mit dem Ergebnis von heute dazu..

Ja aber da wurde ein anderer Ordner beziehungsweise eine andere Datei gelöscht

Zitat:

Zitat von Allegra

Was ist genau mit Dateien fixen gemeint? Soll ich diese suchen und dann per Rechtsklick löschen??

HijackThis Anleitung durchlesen und du wirst wissen was zu tun ist

Zitat:

Zitat von Allegra

Nein, die Internetseiten sagen mir im Moment nichts..

Dann bitte ebenfalls fixen

Zitat:

Zitat von Allegra

Es ist doch zum ausflippen!

Nur die Ruhe Das tönt nur kompliziert und wir habens bald

Gehe nun bitte die Schritte durch zu denen ich dir geraten habe und poste alles

Hi

Zitat:

C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\wsnpoem
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\wsnpoem\audio.dll
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\wsnpoem
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\wsnpoem\audio.dll

Deutliche Hinweise auf Zbot (-> ntos.exe). Da ist Sicherheit dann nur noch ein relativer Begriff solange nicht neu installiert wurde.

Gruß, Karl

Du kannst mich jetzt erwürgen, aber ich raff es nicht!

Habe mir die HJT Anleitung durchgelesen.. Weiss trotzdem nicht, wie ich die Dateien fixen soll??

Sehe es mir bitte nach..möchte auch nichts falsch machen..!
Und was ist mit Avenger nicht richtig gelaufen?
Da war auch keine grüne Ampel auf die ich hätte klicken können heute.

Zitat:

Zitat von KarlKarl

Hi

Deutliche Hinweise auf Zbot (-> ntos.exe). Da ist Sicherheit dann nur noch ein relativer Begriff solange nicht neu installiert wurde.

Gruß, Karl

Was soll das nun wieder bedeuten?? Ich bin keine PC Fachfrau.. Was zum Teu** ist Zbot? Was nun neu installieren??

Zitat:

Zitat von Allegra

Du kannst mich jetzt erwürgen, aber ich raff es nicht!

Habe mir die HJT Anleitung durchgelesen.. Weiss trotzdem nicht, wie ich die Dateien fixen soll??

Am liebsten würde ich dich nun erwürgen ja (wenn du die Anleitung schritt für schritte durchgehen würdest, würdest du es schaffen)

1.Starte Hijackthis
2. drücke auf "Do a system scan only"
3. es geht ein fenster auf, auf denen auf der linken seite kleine kästchen vor jedem eintrag sind
4. nun setzt du überall dort ein häckchen wo ich es dir gesagt habe
5. drückst du auf "fix checked"
6. mit ja bestätigen fertig
7. neues logfile posten

Zitat:

Zitat von Allegra

Und was ist mit Avenger nicht richtig gelaufen?
Da war auch keine grüne Ampel auf die ich hätte klicken können heute.

Kann gut sein ja Konntest du direkt das script einfügen wenn du avanger gestartet hast?? Wenn ja gut Also mach dasselbe nochmals wie ich es dir 2 posts vorher schon gesagt habe

Zitat:

Zitat von KarlKarl

Hi

Deutliche Hinweise auf Zbot (-> ntos.exe). Da ist Sicherheit dann nur noch ein relativer Begriff solange nicht neu installiert wurde.

Gruß, Karl

So ist es ABER ich habe sie schon darauf hingewiesen das Neuaufsetzen die beste Lösung ist, es wurde trozdem nicht diese Variante gwählt

Zitat:

Zitat von Allegra

Was soll das nun wieder bedeuten?? Ich bin keine PC Fachfrau.. Was zum Teu** ist Zbot? Was nun neu installieren??

Das heisst dass du durch die Infektion nie mehr sicher sein kannst das dein system sauber is (obwohl die dateien durch combofix gelöscht wurden)

ansonsten mach einfach meine punkte durch oder Neuaufsetzen wie schon am anfang geraten wurde