![]() |
|
Log-Analyse und Auswertung: HiJackTHis Log-File - Trojaner (?) lassen sich nicht entfernenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() |
|
![]() | #1 |
![]() ![]() | ![]() HiJackTHis Log-File - Trojaner (?) lassen sich nicht entfernen Hallo Leute, ich hoffe, mir kann hier jemadhelfen. Ich abe mir vor einigen Tagen scheinbar 2 Tojanr ingefangen, bekam auch von AntiVir ne Warnug, worauhin ich "löschen" anklickte. Brachte aber nichts. Dann ließ ich AdAware und Spybot laufen, kein Erfolg. Fixen mit Hijack bringt auch nix, selbst im abgesicherten Modus nicht. Wie werde ich die Dinger denn los und hab ich evtl noch mehr aks die zwei Dinger drauf? Ich vermute, dass die Dinger dafür veatworlich sind, dass mein Windows Explorer und Firefox alle 2 Minuten abstürzen. ![]() Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:39:49, on 15.06.2008 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16681) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Windows\System32\rundll32.exe C:\Windows\System32\rundll32.exe C:\Windows\System32\rundll32.exe C:\Windows\explorer.exe C:\Program Files\ICQLite\ICQLite.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msi.com.tw R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: (no name) - {FAAF4503-E52D-4B3B-9B12-D408F13AD817} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\geBSmLby.dll,#1 O4 - HKLM\..\Run: [UVS11 Preload] C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winfcm32.rom,zQDRun O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\***\AppData\Local\Temp\khFxUNeF.dll,c O4 - HKCU\..\Run: [BM79eb8eed] Rundll32.exe "C:\Users\***\AppData\Local\Temp\gkcpihsm.dll",s O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O13 - Gopher Prefix: O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Capture Device Service - Unknown owner - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe (file missing) O23 - Service: dlbt_device - - C:\Windows\system32\dlbtcoms.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\Windows\system32\o2flash.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe -- End of file - 6571 bytes |
![]() | #2 | |
![]() ![]() ![]() ![]() ![]() | ![]() HiJackTHis Log-File - Trojaner (?) lassen sich nicht entfernen Hi,
__________________bin kein Vista-Spezialist, daher erst scannen und nur wenn erkannt im Script stehen lassen! Bitte folgende Files prüfen (Pfade anpassen!): Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: ![]() 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Achtung: Pfade anpassen! Code:
ATTFilter Registry values to delete: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|BM79eb8eed HKLM\Software\Microsoft\Windows\CurrentVersion\Run|cmds HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSServer HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSSMSGS Files to delete: C:\Windows\system32\geBSmLby.dll C:\Users\***\AppData\Local\Temp\khFxUNeF.dll C:\Users\***\AppData\Local\Temp\gkcpihsm.dll C:\Windows\system32\winfcm32.rom <-prüfen 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\geBSmLby.dll,#1 O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winfcm32.rom,zQDRun O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\***\AppData\Local\Temp\khFxUNeF.dll,c O4 - HKCU\..\Run: [BM79eb8eed] Rundll32.exe "C:\Users\***\AppData\Local\Temp\gkcpihsm.dll" ,s http://www.trojaner-board.de/51187-a...i-malware.html Chris
__________________ |
![]() | #3 |
> MalwareDB ![]() ![]() ![]() ![]() ![]() | ![]() HiJackTHis Log-File - Trojaner (?) lassen sich nicht entfernen Gehe wiefolgt vor
__________________Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind. O2 - BHO: (no name) - {FAAF4503-E52D-4B3B-9B12-D408F13AD817} - (no file) O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\geBSmLby.dll,#1 O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winfcm32.rom,zQDRun O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\***\AppData\Local\Temp\khFxUNeF.dll,c O4 - HKCU\..\Run: [BM79eb8eed] Rundll32.exe "C:\Users\***\AppData\Local\Temp\gkcpihsm.dll",s (file missing)dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus. Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden): C:\Windows\system32\geBSmLby.dll C:\Users\***\AppData\Local\Temp\gkcpihsm.dll C:\Users\***\AppData\Local\Temp\khFxUNeF.dll Dann starte den Rechner im normalen Modus neu. Vistafindbat - download von VistaFindbat. zip auf Deinen desktop - öffne mit einem doppelklick die zip datein - starte mit einem rechtsklick auf die datei vistafind.bat (als administrator starten) das stapelverarbeitungsprogramm - Dein bevorzugtes textverarbeitungsprogramm wird sich öffnen - markiere den inhalt und füge in hier im forum in deinem beitrag ein. wichtig: logfile bitte im tag (das Raute Symbol) posten - formatiere nun Deinen beitrag vor dem speichern, in dem du alle texte, die ein älteres datum besitzen, als die letzten 30 tage, aus der liste löscht. das sind alle verzeichnisse, die mit dieserVistaFind.bat ausgelesen werden. Verzeichnis von C:\ Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\system Verzeichnis von C:\WINDOWS\system32 --> von hier bitte alles posten Verzeichnis von C:\USER\Name\Temp Verzeichnis von C:\WINDOWS\Prefetch Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\USER\Name\Temp Verzeichnis von C:\Program Files\ --> hier alles posten lösche die datei vistafind.txt
__________________ |
![]() | #4 |
![]() ![]() | ![]() HiJackTHis Log-File - Trojaner (?) lassen sich nicht entfernen Danke@BataAlexander!!!!!!! Hat super geklappt. Allerdings bekomme ich, wenn ich jetzt normal starte die Fehlermeldung: Fehler beim Laden von C:\Windows\system32\geBSmLby.dll Das angegebene Modul wurde nicht gefunde. Ist nicht weiter schlimm, aber kann ich diese Fehlermeldung irgendwie entfernen? Ok, ich hab mal Vistafindbat laufen lassen. Das kam dabei raus. Sorry, aber ich habe quasi null Ahnung von PC, was meinst du mit Logfile im Tag posten? Verzeichnis von C:\Windows\system32 16.06.2008 16:03 3.072 7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 16.06.2008 16:03 3.072 7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 15.06.2008 23:23 610.142 perfh009.dat 15.06.2008 23:23 103.924 perfc009.dat 15.06.2008 23:23 641.344 perfh007.dat 15.06.2008 23:23 116.706 perfc007.dat 15.06.2008 23:23 1.461.736 PerfStringBackup.INI 14.06.2008 09:22 394.504 FNTCACHE.DAT 13.06.2008 11:51 32.768 winfcm32.rom 12.06.2008 15:04 355.584 TuneUpDefragService.exe 30.05.2008 00:35 17.486.968 mrt.exe 17.05.2008 14:56 28.416 uxtuneup.dll 17.05.2008 14:56 16.640 authuitu.dll 16.05.2008 10:58 12.632 lsdelete.exe Verzeichnis von C:\Program Files 15.06.2008 19:38 <DIR> . 15.06.2008 19:38 <DIR> .. 13.06.2008 12:26 <DIR> SmartSound Software 15.06.2008 19:38 <DIR> Trend Micro 12.06.2008 15:05 <DIR> TuneUp Utilities 2008 13.06.2008 12:07 <DIR> Ulead Systems 13.06.2008 12:13 <DIR> Windows Media Components 1 Datei(en), 43 Bytes 73 Verzeichnis(se), 2.767.302.656 Bytes frei |
![]() | #5 |
> MalwareDB ![]() ![]() ![]() ![]() ![]() | ![]() HiJackTHis Log-File - Trojaner (?) lassen sich nicht entfernen Sorry Chris, hab nicht gesehen, das Du hier auch am posten warst. Lasse wie von Chris vorgschlagen nun bitte Malwarebytes durchlaufen und poste den Bericht hier. Dann sollte die Fehlermeldung auch nicht mehr erscheinen.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
![]() | #6 |
![]() ![]() ![]() ![]() ![]() | ![]() HiJackTHis Log-File - Trojaner (?) lassen sich nicht entfernen @BataAlexander Macht nichts... Falls der Run-Key von Antimalewarebyte nicht gelöscht wird, machen wir das per Hand oder Bobbi (Fleckmanns Registry-search)... chris
__________________ --> HiJackTHis Log-File - Trojaner (?) lassen sich nicht entfernen |
![]() | #7 |
![]() ![]() | ![]() HiJackTHis Log-File - Trojaner (?) lassen sich nicht entfernen Hier ist die Auswertung von Avenger: Logfile of The Avenger Version 2.0, (c) by Swandog46 Swandog46's Public Anti-Malware Tools Platform: Windows Vista ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\Windows\system32\geBSmLby.dll" not found! Deletion of file "C:\Windows\system32\geBSmLby.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Users\***\AppData\Local\Temp\khFxUNeF.dll" not found! Deletion of file "C:\Users\***\AppData\Local\Temp\khFxUNeF.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\Users\***\AppData\Local\Temp\gkcpihsm.dll" not found! Deletion of file "C:\Users\***AppData\Local\Temp\gkcpihsm.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not open file "C:\Windows\system32\winfcm32.rom <-prüfen" Deletion of file "C:\Windows\system32\winfcm32.rom <-prüfen" failed! Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID) --> an object cannot have this name Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|BM79eb8eed" Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|BM79eb8eed" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|cmds" Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|cmds" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSServer" Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSServer" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSSMSGS" Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSSMSGS" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. |
![]() |
Themen zu HiJackTHis Log-File - Trojaner (?) lassen sich nicht entfernen |
abgesicherten modus, ad-aware, add-on, adobe, agere systems, antivir, avg, avira, bho, defender, dll, entfernen, explorer, firefox, hijack, hijackthis, internet, internet explorer, local\temp, log-file, magix, object, pdf, rundll, software, system, temp, toolbars, trojaner, tuneup.defrag, vista, windows, windows defender, windows sidebar |