|
Plagegeister aller Art und deren Bekämpfung: hilfe :(Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.06.2008, 16:10 | #1 |
| hilfe :( hallo ! bekomme seid gestern eine meldung von meinem virenprogramm ( hab windows XP ) das etwas unerwünschtes aufmeinem pc ist ( /TR\Monder.XO & mittlerweile auch TR\vundo.gen ) meine firewall (antivir) fragt mich nun was mit der datei geschehen soll dann steht da löschen, ignoieren, in quarantäne verschieben oder umbenennen.. nunja das problem is nun das davon nun mal so überhaupt nicht funktioniert und die meldung manchma 6 mal hintereinander kommt. dann drück ich und nix passiert.... freundin von mir meinte ich sollte, avg & hijackthis installieren und durchlaufen lassen... avg findet die viren auch aber ich weis nicht ob ich da einfach auf heilen klicken kann... weil ich hab angst alles völlig kaputt zu machen... weil avg und antivir sagen das der virus in C:\Windows\System32gthnpqc.dll sitzt.... ja meine frage ist wie bekomm ich den mist nun weg? das schlimme an der ganzen sache ist das der pc meinem freund gehört und der nicht begeistert sein wird ._. weiteres kann ich auch nicht sagen... liebe grüße |
20.06.2008, 16:58 | #2 |
| hilfe :( Hallo,
__________________erstelle bitte ein Logfile. Schau hier wie es gemacht wird : http://www.trojaner-board.de/51130-a...ijackthis.html Irrlicht |
20.06.2008, 17:30 | #3 |
| hilfe :( Logfile of Trend Micro HijackThis v2.0.2
__________________[edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit] |
20.06.2008, 19:34 | #4 |
| hilfe :( Hallo, soweit so gut... Vielleicht bekommen wir das hin, ohne das es Mecker gibt... Folge dieser Anleitung und arbeite sie ab : http://www.trojaner-board.de/51187-a...i-malware.html Poste die Ergebnisse. Irrlicht |
20.06.2008, 22:10 | #5 |
| hilfe :( so das wären dann die ergebnisse: Malwarebytes' Anti-Malware 1.18 Datenbank Version: 872 23:09:43 20.06.2008 mbam-log-6-20-2008 (23-09-43).txt Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|) Objekte gescannt: 149561 Scan Dauer: 1 hour(s), 29 minute(s), 50 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 2 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\14b29ffd (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM1781ac61 (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully. |
21.06.2008, 00:35 | #6 |
> MalwareDB | hilfe :( Poste bitte ein neues HijackThis Logfile.
__________________ --> hilfe :( |
21.06.2008, 09:17 | #7 |
| hilfe :( sooo da isser Logfile of Trend Micro HijackThis v2.0.2 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit] |
21.06.2008, 11:14 | #8 |
> MalwareDB | hilfe :( Gehe wiefolgt vor Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: (no name) - {29E06DF2-6C48-48F9-8BED-7BB774DBE6E7} - C:\WINDOWS\system32\efcyyyAr.dll (file missing) O2 - BHO: (no name) - {728AAF16-F1AF-4C45-8B1E-45C0F8519A28} - C:\WINDOWS\system32\geBuUKdA.dll (file missing) O2 - BHO: {7653c6c6-8cbb-732b-0a14-88e3d820fdad} - {dadf028d-3e88-41a0-b237-bbc86c6c3567} - C:\WINDOWS\system32\royrdfml.dll (file missing) O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O20 - Winlogon Notify: geBuUKdA - geBuUKdA.dll (file missing) (file missing)dann Klicke Fix Checked. Schließe HiJackThis. Starte den Rechner neu, erstelle ein neues HijackThis Logfile. Wie ist der Status Deines Systems hast Du noch Probleme/ Meldungen? Du solltest eines Deiner zwei Antivirenprgogramme deinstallieren. Zwei bringen nicht mehr Schutz, sondern bewirken meist das Gegenteil. Führe mit dem verbleibenen AV Programm einen Systemscan aus und poste die Funde hier.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall Geändert von BataAlexander (21.06.2008 um 11:31 Uhr) |
21.06.2008, 11:46 | #9 |
| hilfe :( Hoffe das hat nun alles seine richtigkeit. bissher haben die virenprogramme nix mehr angezeigt. welches programm ist den das bessere? Avg, Antivir oder Adaware? also avg hat mir bissher immer die trojaner angezeigt und antivir nur wenn es lust hatte glaub ich o.o aufjedenfall viel dank schonmal an euch.. ne gute freundin von mir meinte ich sollte die ganzen programme installieren weil ein programm immer nen bestimmten bereich absucht. deswegen hab ich so viele.... hier der logfile Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:40:06, on 21.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\PROGRA~1\AVG\AVG8\avgemc.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\Medion\KeyStat\KeyStat.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Windows Defender\MSASCui.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Logitech\Video\LogiTray.exe C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\Programme\Logitech\Video\FxSvr2.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ***://go.microsoft.com/fwlink/?LinkId=74005 R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - ***://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - ***://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll O20 - AppInit_DLLs: avgrsstx.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 8489 bytes |
21.06.2008, 11:55 | #10 |
| hilfe :( oh man dieses Malwarebytes hab ich ja auch noch drauf... so viel zeug weiß überhaupt nid welches ich da jetz runterschmeißen soll xD |
21.06.2008, 12:02 | #11 |
> MalwareDB | hilfe :( AVG oder Antivir sind beide gut. Adaware und Malwarebyes sind allerdings OnDemand scanner, das bedeutet sie scannen nur, wenn Du es ihnen sagst. Daher kannst Du diese auf dem Rechner belassen. Anders ist es bei AVG und Antivir, die sannen die ganze Zeit im Hintergrund, was Du so treibst, daher sollte da nur eins laufen. Dein HJT Logfile ist ok. Scanne nun Dein System und poste die Funde hier, wir hoffen natürlich das keine kommen.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
21.06.2008, 12:31 | #12 |
| hilfe :( ich lass grad avg scannen der findet bissher nur iwelche cookies das hat doch nix zu bedeuten oder? |
21.06.2008, 12:33 | #13 |
> MalwareDB | hilfe :( Cookies sind nichts aktive Bedrohung.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
21.06.2008, 12:47 | #14 |
| hilfe :( Also der Scanner von AVG hat keinen trojaner gefunden da steht nur 31 warnungen das sind aber die cookies. bis gestern hat er immerhin die trojaner noch gefunden... hab grade mal das Malwarebytes geöffnet und unter quarantäne geguckt... da sind die sachen noch aufgelistet wie zb 20.6.2008 Trojan.vundo File C:\\Windows\System32\clkcnt.txt hat das was zu bedeuten? |
21.06.2008, 12:55 | #15 |
> MalwareDB | hilfe :( Die Quarantäne kannst Du löschen. Wenn keine weiteren Funde auftauchen, sollte es das gewesen sein.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
Themen zu hilfe :( |
antivir, avg, c:\windows, datei, einfach, firewall, frage, funktioniert, hijack, hijackthis, kaputt, klicke, löschen, meldung, problem, programm, quara, quarantäne, system, verschieben, virus, vundo.gen, windows, windows xp |