Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
BHO lässt sich nicht vollständig entfernen

BHO lässt sich nicht vollständig entfernen


Log-Analyse und Auswertung: BHO lässt sich nicht vollständig entfernen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 16.06.2008, 06:56   #1
WaterPhoeniX
 
BHO lässt sich nicht vollständig entfernen - Ausrufezeichen

BHO lässt sich nicht vollständig entfernen


Guten Morgen.
Ich habe mir vor einigen tagen mehrere BHO's eingefangen die ich alle bis auf 2 wunderbar entfernen konnte. diese 2 Dateien allerdings lassen sich selbst im abgesicherten modus nicht löschen da sie verwendet werden allerdings finde ich bei google keinerlei informationen über diese dll's.
habt ihr eine Lösung wie ich sie dennoch entfernen kann ?

Log :
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:48:59, on 16.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\taskmgr.exe
E:\WINDOWS\explorer.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: (no name) - {03657894-7C44-4EF3-A162-E70D19564373} - E:\WINDOWS\system32\qoMgEXRk.dll
O2 - BHO: (no name) - {E3DD90F5-37D3-4557-815B-FF4498F1FBCB} - E:\WINDOWS\system32\geBtSKDt.dll
O20 - Winlogon Notify: qoMgEXRk - E:\WINDOWS\SYSTEM32\qoMgEXRk.dll
O23 - Service: Adobe LM Service - Adobe Systems - E:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - E:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - E:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - F:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: nHancer Support (nHancer) - KSE - Korndörfer Software Engineering - E:\Programme\nHancer\nHancerService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - E:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (SfCtlCom) - Trend Micro Inc. - E:\Programme\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: Tablet Service (TabletService) - Aiptek - E:\WINDOWS\system32\WT32EXE.EXE
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - E:\Programme\Trend Micro\BM\TMBMSRV.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - E:\Programme\Trend Micro\Internet Security\TmProxy.exe

--
End of file - 2388 bytes
Und habt ihr Tips mit welcher software ich mich in Zukunft am besten vor solchen Schädlingen schütze ?

Danke schonmal im voraus.
WaterPhoeniX

Alt 16.06.2008, 06:59   #2
BataAlexander
> MalwareDB
 
BHO lässt sich nicht vollständig entfernen - Standard

BHO lässt sich nicht vollständig entfernen


ComboFix
  • Download ComboFix von hier oder hier auf Deinen Desktop.
  • Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
    (Auch Guards von Ad-, Spyware Programmen!)
  • Doppelklicke die combofix.exe.
  • Wenn Combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort

Wichtige Hinweise:
  • Combofix darf ausschließlich ausgeführt werden wenn ein erfahrener Helfer dies ausdrücklich empfohlen hat!
    Es sollte nie auf eigene Initiative hin ausgeführt werden. Eine falsche Benutzung kann ernsthalfte Computerprobleme nach sich ziehen.
  • Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
  • Alle Guards der Antivirenprogramme sollten wie beschrieben deaktiviert sein.
  • Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
  • Combofix leert die Liste der für das Internet autorisierten Anwendungen. Die meisten Fragen im Folgenden nach einer Erneuten Aufnahme, einige nicht. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
  • Combofix ändert den Standardbrowser auf den Internet Explorer. Diese Änderung nach der Anwendung ggf. manuel wieder ändern.
  • Der Desktop wird während Combofix blau werden, die Icons verschinden. Dies Verhalten ist gewollt und bedeutet keine Gefahr.

Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________

__________________
Alt 16.06.2008, 18:13   #3
WaterPhoeniX
 
BHO lässt sich nicht vollständig entfernen - Standard

BHO lässt sich nicht vollständig entfernen


Danke für die schnelle Hilfe. Die BHO's scheinen tatsächlich weg zu sein.
Aber wie kann ich mich dauerhaft gegen so etwas schützen ? ich habe von aktueller Virensoftware wenig Ahnung.
Erstmal die Logs:

Code:
ATTFilter
ComboFix 08-06-15.4 - Water-PhoeniX 2008-06-16 18:54:52.1 - NTFSx86 NETWORK
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.2520 [GMT 2:00]
ausgeführt von:: E:\Dokumente und Einstellungen\Water-PhoeniX\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

E:\WINDOWS\BM67eb665d.xml
E:\WINDOWS\cookies.ini
E:\WINDOWS\pskt.ini
E:\WINDOWS\system32\aqlydlhr.dll
E:\WINDOWS\system32\awtrPfgF.dll
E:\WINDOWS\system32\bmtywetb.ini
E:\WINDOWS\system32\btewytmb.dll
E:\WINDOWS\system32\byXRijjh.dll
E:\WINDOWS\system32\cgpxnjtm.ini
E:\WINDOWS\system32\crhqslax.ini
E:\WINDOWS\system32\geBqQGaA.dll
E:\WINDOWS\system32\geBtSKDt.dll
E:\WINDOWS\system32\hmikdmrq.dll
E:\WINDOWS\system32\jkkJaaxY.dll
E:\WINDOWS\system32\jkkLCsPf.dll
E:\WINDOWS\system32\kppxoqns.dll
E:\WINDOWS\system32\ktwjehox.ini
E:\WINDOWS\system32\lanprjdn.ini
E:\WINDOWS\system32\mcrh.tmp
E:\WINDOWS\system32\mlJYonNf.dll
E:\WINDOWS\system32\mtjnxpgc.dll
E:\WINDOWS\system32\naxnvybg.dll
E:\WINDOWS\system32\ndjrpnal.dll
E:\WINDOWS\system32\njvsbfhc.dll
E:\WINDOWS\system32\nqYJRqru.ini
E:\WINDOWS\system32\nqYJRqru.ini2
E:\WINDOWS\system32\qoMgEXRk.dll
E:\WINDOWS\system32\qrmdkimh.ini
E:\WINDOWS\system32\rvjnhmcv.dll
E:\WINDOWS\system32\ssqNHwwT.dll
E:\WINDOWS\system32\ssqOFUoo.dll
E:\WINDOWS\system32\tDKStBeg.ini
E:\WINDOWS\system32\tDKStBeg.ini2
E:\WINDOWS\system32\vmdrjcpe.dll
E:\WINDOWS\system32\wHRqYJlm.ini
E:\WINDOWS\system32\wHRqYJlm.ini2
E:\WINDOWS\system32\xohejwtk.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2008-05-16 bis 2008-06-16  ))))))))))))))))))))))))))))))
.

2008-06-16 07:43 . 2008-06-16 07:48	214	--a------	E:\WINDOWS\system32\tmp.reg
2008-06-16 07:42 . 2007-09-06 00:22	289,144	--a------	E:\WINDOWS\system32\VCCLSID.exe
2008-06-16 07:42 . 2006-04-27 17:49	288,417	--a------	E:\WINDOWS\system32\SrchSTS.exe
2008-06-16 07:42 . 2008-05-29 09:35	86,528	--a------	E:\WINDOWS\system32\VACFix.exe
2008-06-16 07:42 . 2008-05-18 21:40	82,944	--a------	E:\WINDOWS\system32\IEDFix.exe
2008-06-16 07:42 . 2008-06-15 15:28	81,920	--a------	E:\WINDOWS\system32\IEDFix.C.exe
2008-06-16 07:42 . 2008-05-23 18:21	81,920	--a------	E:\WINDOWS\system32\404Fix.exe
2008-06-16 07:42 . 2003-06-05 21:13	53,248	--a------	E:\WINDOWS\system32\Process.exe
2008-06-16 07:42 . 2004-07-31 18:50	51,200	--a------	E:\WINDOWS\system32\dumphive.exe
2008-06-16 07:42 . 2007-10-04 00:36	25,600	--a------	E:\WINDOWS\system32\WS2Fix.exe
2008-06-13 17:27 . 2008-06-13 17:27	54,156	--ah-----	E:\WINDOWS\QTFont.qfn
2008-06-13 17:27 . 2008-06-13 17:27	1,409	--a------	E:\WINDOWS\QTFont.for
2008-06-13 15:24 . 2008-06-13 15:24	<DIR>	d--------	E:\Programme\7-Zip
2008-06-12 20:54 . 2008-06-12 20:54	0	--ah-----	E:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-06-12 20:54 . 2008-06-12 20:54	0	--ah-----	E:\WINDOWS\system32\drivers\Msft_Kernel_ggsemc_01005.Wdf
2008-06-12 20:47 . 2008-06-12 20:47	1,419,232	--a------	E:\WINDOWS\system32\wdfcoinstaller01005.dll
2008-06-12 20:47 . 2008-06-12 20:47	25,214	--a------	E:\WINDOWS\system32\memorystick.ico
2008-06-12 20:47 . 2008-06-12 20:47	21,672	--a------	E:\WINDOWS\system32\drivers\ggsemc.sys
2008-06-12 20:47 . 2008-06-12 20:47	13,352	--a------	E:\WINDOWS\system32\drivers\ggflt.sys
2008-06-12 17:19 . 2008-06-12 17:19	0	---hs----	E:\WINDOWS\SEE290EA8.tmp
2008-06-12 17:01 . 2008-06-12 17:01	<DIR>	d--------	E:\Programme\CleanUp!
2008-06-12 16:57 . 2008-06-12 16:59	<DIR>	d--------	E:\Programme\Enigma Software Group
2008-06-12 16:43 . 2008-06-12 16:43	<DIR>	d--------	E:\Programme\a-squared HiJackFree
2008-06-12 16:34 . 2008-06-12 16:41	<DIR>	d--------	E:\Programme\BHODemon 2
2008-06-12 16:21 . 2007-10-01 10:07	<DIR>	d--h-----	E:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-06-12 16:21 . 2007-10-02 11:02	<DIR>	dr-------	E:\Dokumente und Einstellungen\Administrator\Startmen
2008-06-12 16:21 . 2007-10-02 11:02	<DIR>	d--h-----	E:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-06-12 16:21 . 2007-10-02 11:02	<DIR>	d--h-----	E:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-06-12 16:21 . 2008-06-12 16:57	<DIR>	d--------	E:\Dokumente und Einstellungen\Administrator\Favoriten
2008-06-12 16:21 . 2007-10-02 11:02	<DIR>	d--h-----	E:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-06-12 16:21 . 2008-06-12 17:00	<DIR>	dr-h-----	E:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-06-12 16:21 . 2008-06-12 16:21	<DIR>	d--------	E:\Dokumente und Einstellungen\Administrator
2008-06-12 16:00 . 2008-06-12 16:00	<DIR>	d--------	E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trend Micro
2008-06-12 16:00 . 2008-03-07 06:34	138,384	--a------	E:\WINDOWS\system32\drivers\tmcomm.sys
2008-06-12 16:00 . 2008-03-07 06:34	52,496	--a------	E:\WINDOWS\system32\drivers\tmactmon.sys
2008-06-12 16:00 . 2008-03-07 06:34	52,240	--a------	E:\WINDOWS\system32\drivers\tmevtmgr.sys
2008-06-12 15:33 . 2008-06-12 16:00	<DIR>	d--------	E:\Programme\Trend Micro
2008-06-12 07:12 . 2008-06-12 07:12	321,536	---------	E:\WINDOWS\system32\urqRJYqn.dll_old
2008-06-11 23:18 . 2008-06-12 15:37	<DIR>	d--------	E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-11 15:49 . 2008-06-12 15:47	<DIR>	d--------	E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-06-11 15:46 . 2008-06-11 15:48	<DIR>	d--------	E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-06-10 22:00 . 2008-06-10 22:00	29,334	-r-hs----	E:\WINDOWS\winudmr.exe
2008-06-09 18:45 . 2008-06-09 18:45	<DIR>	d--------	E:\Programme\MSXML 4.0
2008-06-08 12:40 . 2008-06-08 12:40	0	--a------	E:\WINDOWS\mngui.INI
2008-06-08 12:33 . 2007-04-13 09:50	108,424	-ra------	E:\WINDOWS\system32\drivers\zebrmdmc.sys
2008-06-08 12:33 . 2007-04-13 09:50	108,296	-ra------	E:\WINDOWS\system32\drivers\zebrmdm.sys
2008-06-08 12:33 . 2007-04-13 09:50	90,888	-ra------	E:\WINDOWS\system32\drivers\zebrsce.sys
2008-06-08 12:33 . 2008-06-12 20:47	83,200	--a------	E:\WINDOWS\system32\drivers\zebrbus.sys
2008-06-08 12:33 . 2007-04-13 09:50	15,112	-ra------	E:\WINDOWS\system32\drivers\zebrmdfl.sys
2008-06-08 12:33 . 2007-04-13 09:50	12,424	-ra------	E:\WINDOWS\system32\drivers\zebrcmnt.sys
2008-06-08 12:33 . 2007-04-13 09:50	12,424	-ra------	E:\WINDOWS\system32\drivers\zebrcm.sys
2008-06-08 12:31 . 2008-06-08 12:31	<DIR>	d--------	E:\Dokumente und Einstellungen\Water-PhoeniX\Anwendungsdaten\Teleca
2008-06-08 12:30 . 2008-06-08 12:30	<DIR>	d--------	E:\Programme\Symbian
2008-06-08 12:30 . 2008-06-12 20:46	<DIR>	d--------	E:\Programme\Sony Ericsson
2008-06-08 12:30 . 2008-06-08 12:30	<DIR>	d--------	E:\Programme\Intuwave
2008-06-08 12:30 . 2008-06-08 12:30	<DIR>	d--------	E:\Programme\Gemeinsame Dateien\Teleca Shared
2008-06-08 12:30 . 2008-06-08 12:30	<DIR>	d--------	E:\Programme\Gemeinsame Dateien\Sony Ericsson Shared
2008-06-08 12:30 . 2008-06-08 12:30	<DIR>	d--------	E:\Dokumente und Einstellungen\Water-PhoeniX\Anwendungsdaten\Sony Ericsson
2008-06-08 12:30 . 2008-06-08 12:30	<DIR>	d--------	E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2008-06-08 12:30 . 2008-06-12 20:47	<DIR>	d--------	E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-06-08 12:30 . 2008-06-12 20:47	63,360	--a------	E:\WINDOWS\system32\drivers\zebrceb.sys
2008-06-08 12:30 . 2008-06-12 20:47	12,160	--a------	E:\WINDOWS\system32\drivers\zebrwhnt.sys
2008-06-08 12:30 . 2008-06-12 20:47	12,160	--a------	E:\WINDOWS\system32\drivers\zebrwh.sys
2008-06-08 12:30 . 2005-06-08 15:53	288	--a------	E:\WINDOWS\mrinstu.iss
2008-05-29 21:09 . 2008-05-29 21:09	<DIR>	d--------	E:\Dokumente und Einstellungen\Water-PhoeniX\Anwendungsdaten\WTablet
2008-05-29 16:20 . 2000-01-05 14:14	36,864	--a------	E:\WINDOWS\system32\pencls32.dll
2008-05-29 16:20 . 2001-07-31 09:19	13,408	--a------	E:\WINDOWS\system32\tabinst.dll
2008-05-29 16:20 . 1999-04-15 13:41	4,032	--a------	E:\WINDOWS\system32\tabins16.dll
2008-05-29 16:18 . 2008-05-29 16:23	<DIR>	d--------	E:\driver
2008-05-29 16:13 . 2008-05-29 16:13	<DIR>	d--------	E:\WINDOWS\system32\WTablet
2008-05-29 16:13 . 2008-05-29 16:13	<DIR>	d--------	E:\Programme\Tablet
2008-05-29 16:13 . 2007-09-07 11:40	1,373,480	--a------	E:\WINDOWS\system32\Wacom_Tablet.exe
2008-05-29 16:13 . 2007-09-07 11:33	128,296	--a------	E:\WINDOWS\system32\Wacom_Tablet.dll
2008-05-29 16:13 . 2007-02-16 10:30	12,848	--a------	E:\WINDOWS\system32\drivers\wacomvhid.sys
2008-05-29 16:13 . 2007-02-16 11:12	11,312	--a------	E:\WINDOWS\system32\drivers\wacommousefilter.sys
2008-05-28 22:25 . 2001-08-18 04:34	18,176	--a------	E:\WINDOWS\system32\drivers\sermouse.sys
2008-05-28 22:25 . 2001-08-18 04:34	18,176	--a--c---	E:\WINDOWS\system32\dllcache\sermouse.sys
2008-05-26 19:34 . 2008-06-12 16:15	8,192	--ahs----	E:\WINDOWS\system32\Thumbs.db
2008-05-23 17:43 . 2008-05-23 17:43	268	--ah-----	E:\sqmdata01.sqm
2008-05-23 17:43 . 2008-05-23 17:43	244	--ah-----	E:\sqmnoopt01.sqm
2008-05-18 19:40 . 2008-05-18 19:40	754	--a------	E:\WINDOWS\WORDPAD.INI

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-15 20:03	---------	d-----w	E:\Programme\FrostWire
2008-06-12 19:11	---------	d-----w	E:\Programme\Windows Live Safety Center
2008-06-12 15:20	---------	d---a-w	E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-12 13:37	---------	d-----w	E:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-11 20:45	---------	d-----w	E:\Dokumente und Einstellungen\Water-PhoeniX\Anwendungsdaten\FileZilla
2008-06-08 10:30	---------	d--h--w	E:\Programme\InstallShield Installation Information
2008-06-02 05:10	---------	d-----w	E:\Dokumente und Einstellungen\Water-PhoeniX\Anwendungsdaten\OpenOffice.org2
2008-05-28 20:32	---------	d-----w	E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2008-05-17 10:15	100,864	----a-w	E:\WINDOWS\system32\drivers\avmaura.sys
2008-05-09 11:26	---------	d-----w	E:\Programme\MSXML 6.0
2008-05-07 17:36	---------	d-----w	E:\Programme\Company
2008-05-02 14:22	205,328	----a-w	E:\WINDOWS\system32\drivers\tmxpflt.sys
2008-05-02 14:21	36,368	----a-w	E:\WINDOWS\system32\drivers\tmpreflt.sys
2008-05-02 14:17	1,169,240	----a-w	E:\WINDOWS\system32\drivers\vsapint.sys
2008-04-28 19:36	---------	d-----w	E:\Programme\iTunes
2008-04-23 12:48	---------	d-----w	E:\Programme\Java
2008-04-23 12:48	---------	d-----w	E:\Programme\Gemeinsame Dateien\Java
2008-04-21 15:52	77,824	----a-w	E:\WINDOWS\uinst001.exe
2008-04-21 15:50	---------	d-----w	E:\Programme\SoftMaker Viewer
2008-04-20 17:22	---------	d-----w	E:\Programme\IconEdit Pro V7.04
2008-02-22 20:17	87,608	----a-w	E:\Dokumente und Einstellungen\Water-PhoeniX\Anwendungsdaten\inst.exe
2008-02-22 20:17	47,360	----a-w	E:\Dokumente und Einstellungen\Water-PhoeniX\Anwendungsdaten\pcouffin.sys
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="E:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"E:\\Programme\\MSN Messenger\\livecall.exe"=
"Q:\\ut3\\Binaries\\UT3Demo.exe"=
"E:\\Programme\\Skype\\Phone\\Skype.exe"=
"Q:\\unreal tournament 3\\Binaries\\UT3.exe"=
"E:\\Dokumente und Einstellungen\\Water-PhoeniX\\Lokale Einstellungen\\Apps\\2.0\\XTWDDAKV.4M7\\Q6OV76Z1.HCG\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0e9add42c1\\fritzbox-usb-fernanschluss.exe"=
"E:\\Programme\\iTunes\\iTunes.exe"=
"E:\\Dokumente und Einstellungen\\Water-PhoeniX\\Lokale Einstellungen\\Apps\\2.0\\XTWDDAKV.4M7\\Q6OV76Z1.HCG\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf0f9b5c5281\\fritzbox-usb-fernanschluss.exe"=

R2 IJPLMSVC;PIXMA Extended Survey Program;E:\Programme\Canon\IJPLM\IJPLMSVC.EXE [2007-04-13 18:20]
R2 WtClass;wtclass;E:\WINDOWS\system32\drivers\wtclass.sys [1994-05-03 01:02]
R3 avmaura;AVM USB-Fernanschluss;E:\WINDOWS\system32\DRIVERS\avmaura.sys [2008-05-17 12:15]
R3 ha20x2k;Creative 20X HAL Driver;E:\WINDOWS\system32\drivers\ha20x2k.sys [2006-08-17 11:16]
R3 tablet;Tablet Driver;E:\WINDOWS\system32\drivers\tablet.sys [2000-06-07 17:50]
R3 tbfilter;Tablet Filter Driver;E:\WINDOWS\system32\DRIVERS\tbfilter.sys [2000-06-07 15:13]
R3 wacommousefilter;Wacom Mouse Filter Driver;E:\WINDOWS\system32\DRIVERS\wacommousefilter.sys [2007-02-16 11:12]
R3 wacomvhid;Wacom Virtual Hid Driver;E:\WINDOWS\system32\DRIVERS\wacomvhid.sys [2007-02-16 10:30]
R3 zebrceb;Sony Ericsson Cable Emulation Bus (WDM);E:\WINDOWS\system32\DRIVERS\zebrceb.sys [2008-06-12 20:47]
S1 aipclass;aipclass;E:\WINDOWS\system32\drivers\aipclass.sys [1999-05-28 09:43]
S3 ASPI;Advanced SCSI Programming Interface Driver;E:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 10:05]
S3 ggflt;SEMC USB Flash Driver Filter;E:\WINDOWS\system32\DRIVERS\ggflt.sys [2008-06-12 20:47]
S3 snpstd2;VideoCAM Look;E:\WINDOWS\system32\DRIVERS\snpstd2.sys [2004-07-28 12:49]
S3 zebrbus;Sony Ericsson Composite Device driver;E:\WINDOWS\system32\DRIVERS\zebrbus.sys [2008-06-12 20:47]
S3 zebrmdfl;Sony Ericsson Modem Filter;E:\WINDOWS\system32\DRIVERS\zebrmdfl.sys [2007-04-13 09:50]
S3 zebrmdm;Sony Ericsson Port (WDM);E:\WINDOWS\system32\DRIVERS\zebrmdm.sys [2007-04-13 09:50]
S3 zebrmdmc;Sony Ericsson mRouter Port (WDM);E:\WINDOWS\system32\DRIVERS\zebrmdmc.sys [2007-04-13 09:50]
S3 zebrsce;Sony Ericsson PC-Connect Port;E:\WINDOWS\system32\DRIVERS\zebrsce.sys [2007-04-13 09:50]
S4 TabletServiceWacom;TabletServiceWacom;E:\WINDOWS\system32\Wacom_Tablet.exe [2007-09-07 11:40]

.
Inhalt des "geplante Tasks" Ordners
"2008-01-13 17:29:35 E:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- E:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-16 19:00:23
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
E:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
F:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
E:\Programme\nHancer\nHancerService.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\Programme\Trend Micro\Internet Security\SfCtlCom.exe
E:\WINDOWS\system32\Wt32exe.exe
E:\WINDOWS\system32\wdfmgr.exe
E:\Programme\Trend Micro\BM\TMBMSRV.exe
E:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
E:\Programme\Trend Micro\Internet Security\UfSeAgnt.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Programme\Trend Micro\Internet Security\TmProxy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-16 19:06:50 - machine was rebooted
ComboFix-quarantined-files.txt  2008-06-16 17:06:44

               7 Verzeichnis(se), 46,412,800,000 Bytes frei
               9 Verzeichnis(se), 46,967,394,304 Bytes frei

233	--- E O F ---	2008-06-09 16:45:44
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:08:37, on 16.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Canon\IJPLM\IJPLMSVC.EXE
E:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
F:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
E:\Programme\nHancer\nHancerService.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\Programme\Trend Micro\Internet Security\SfCtlCom.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\WT32EXE.EXE
E:\Programme\Trend Micro\BM\TMBMSRV.exe
E:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
E:\Programme\Trend Micro\Internet Security\UfSeAgnt.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Programme\Trend Micro\Internet Security\TmProxy.exe
E:\WINDOWS\system32\wuauclt.exe
E:\WINDOWS\explorer.exe
E:\WINDOWS\system32\notepad.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O23 - Service: Adobe LM Service - Adobe Systems - E:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - E:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - E:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - F:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: nHancer Support (nHancer) - KSE - Korndörfer Software Engineering - E:\Programme\nHancer\nHancerService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - E:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (SfCtlCom) - Trend Micro Inc. - E:\Programme\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: Tablet Service (TabletService) - Aiptek - E:\WINDOWS\system32\WT32EXE.EXE
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - E:\Programme\Trend Micro\BM\TMBMSRV.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - E:\Programme\Trend Micro\Internet Security\TmProxy.exe

--
End of file - 3231 bytes
__________________
Alt 17.06.2008, 00:40   #4
BataAlexander
> MalwareDB
 
BHO lässt sich nicht vollständig entfernen - Standard

BHO lässt sich nicht vollständig entfernen


Wir sind noch nicht ganz fertig.
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Collect::
E:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
E:\WINDOWS\SEE290EA8.tmp
E:\WINDOWS\winudmr.exe
E:\WINDOWS\system32\urqRJYqn.dll_old
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over[...].
Stuart Udall
Geändert von BataAlexander (17.06.2008 um 00:45 Uhr)

Alt 19.06.2008, 20:25   #5
WaterPhoeniX
 
BHO lässt sich nicht vollständig entfernen - Standard

BHO lässt sich nicht vollständig entfernen


danke hat wunderbar funktioniert. leider ist die log file zu lang fürs forum. ich habe leider auch keine html datei generiert bekommen, mit der ich die zip file hochladen kann


Alt 19.06.2008, 20:44   #6
BataAlexander
> MalwareDB
 
BHO lässt sich nicht vollständig entfernen - Standard

BHO lässt sich nicht vollständig entfernen


das war mein Fehler, habe im Script was vergessen.

Das Logfile kannst Du hier hochladen File-Upload.net - Ihr kostenloser File Hoster!
__________________
--> BHO lässt sich nicht vollständig entfernen

Alt 24.06.2008, 16:38   #7
WaterPhoeniX
 
BHO lässt sich nicht vollständig entfernen - Standard

BHO lässt sich nicht vollständig entfernen


okay. wo speichert combofix die logfiles ?

Alt 24.06.2008, 16:45   #8
BataAlexander
> MalwareDB
 
BHO lässt sich nicht vollständig entfernen - Standard

BHO lässt sich nicht vollständig entfernen


unter c:\combofix.txt
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over[...].
Stuart Udall

Antwort

Themen zu BHO lässt sich nicht vollständig entfernen
32-bit, abgesicherten modus, adobe, bho, canon, central, dateien, dll, entfernen, explorer, google, hijack, hijackthis, internet, internet explorer, internet security, logfile, löschen, lösung, mehrere, micro, nvidia, programme, proxy, schädlinge, security, software, system, system32, tablet, vollständig entfernen, windows, windows xp


« MSN Wurm | Festplatte voll und TR/Dropper.Gen »


Ähnliche Themen: BHO lässt sich nicht vollständig entfernen


  1. Ransomeware lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 28.07.2015 (7)
  2. Windows7 taskmgr lässt sich nicht starten, Avira Echtzeitscanner lässt sich nicht aktivieren, USB wird nicht angenommen, ohne Meldung,
    Log-Analyse und Auswertung - 01.06.2015 (15)
  3. Conhost.exe prozess lässt sich nicht beenden & auch nicht entfernen.
    Plagegeister aller Art und deren Bekämpfung - 15.05.2015 (9)
  4. Programme lasssen sich nicht vollständig entfernen
    Log-Analyse und Auswertung - 10.05.2015 (16)
  5. TR/Crypt.EPACK.20167 -- lässt sich nicht löschen -- Echtzeitscanner lässt sich nicht aktivieren
    Plagegeister aller Art und deren Bekämpfung - 14.01.2015 (29)
  6. Popcorn Time lässt sich nicht vollständig entfernen
    Plagegeister aller Art und deren Bekämpfung - 18.09.2014 (8)
  7. Laptop ruckelt nur noch, Iminent lässt sich nicht löschen und Radio schaltet sich alleine an und aus und lässt sich ebenfalls nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 27.06.2014 (3)
  8. Spybot - Search and Destroy läßt sich nicht vollständig entfernen
    Plagegeister aller Art und deren Bekämpfung - 01.04.2014 (9)
  9. Claro lässt sich nicht vollständig entfernen, Virusbefall?
    Plagegeister aller Art und deren Bekämpfung - 26.11.2012 (28)
  10. SECURITY TOOL WARNUNG öffnet sich andauernd und lässt sich nicht entfernen!
    Log-Analyse und Auswertung - 03.10.2010 (1)
  11. Security Essentials 2010 lässt sich nicht entfernen, rkill funktioniert nicht
    Plagegeister aller Art und deren Bekämpfung - 26.09.2010 (11)
  12. Win32/Kryptik.EKH Trojaner lässt sich nicht entfernen/MBAM startet nicht
    Plagegeister aller Art und deren Bekämpfung - 18.06.2010 (18)
  13. Antimalware Doctor lässt sich nicht vollständig entfernen
    Plagegeister aller Art und deren Bekämpfung - 08.06.2010 (4)
  14. security tool lässt sich nicht vollständig entfernen, ändert browser startseite
    Plagegeister aller Art und deren Bekämpfung - 15.05.2010 (1)
  15. Spybot+Firefox hängen sich auf / Windows Security Alert lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 11.05.2010 (15)
  16. Lässt sich nicht entfernen
    Log-Analyse und Auswertung - 07.05.2006 (10)
  17. CWS lässt sich nicht entfernen
    Log-Analyse und Auswertung - 28.06.2004 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema BHO lässt sich nicht vollständig entfernen - Guten Morgen. Ich habe mir vor einigen tagen mehrere BHO's eingefangen die ich alle bis auf 2 wunderbar entfernen konnte. diese 2 Dateien allerdings lassen sich selbst im abgesicherten modus - BHO lässt sich nicht vollständig entfernen...
Archiv
Du betrachtest: BHO lässt sich nicht vollständig entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130