Antivir xp 2008

Godi_1970 · 17.07.2008, 04:14

huhu,da ich im internet was recherchiert habe bin ich somit auf eure seite aufmerksam geworden.das ist ja supi hier wie geholfen wird

so zu meinem problem,
ich habe mir dur eine eroticseite den größten scheiß meiner pc laufbahn eingefangen.es handelt sich um das sogenannte antivir xp 2008.es wurde im zusammenhang mit einem aktivX steuerelement installiert.

da ich im internet auf vieles aufmerksam geworden bin was antivir xp 2008 betrifft habe ich einiges schon gemacht.hab mit spybot & destroy und hijack this alles erstmal ausfindig gemacht und natürlich gelöscht.

das gute ist,das program ist runter.ich finde nirgends was über das program mehr.das folgende problem ist jetzt wiederum größer,hab noch ein trojaner damit eingefangen der laut kaspersky lautet : " Trojan-downloader.win32.fraudload.vadn "

da drunter steht datei: http://updatehost.com/promo/promomodule1.exe

dieser mist ist nirgends zu finden.kaspersky kann das net löschen sondern nur den zugang verbieten was ich auch tue.

so da mir das auf die nüsse geht dachte ich mir formatieren geht schneller.tja das große problem jetzt,ich kann nicht formatieren.ich lege XP cd ein und starte den pc neu und wärend des hochfahrens sollte normaerweise eine aufforderung kommen von cd zu booten,nur da kommt nix.also bin ich ins bios um mir die einstellungen anzuschauen womit der bootet.er bootet von festplatte.umstellen auf cd rom net möglich.tastatur ist in dem fall aus.warum auch immer.vieleicht liegts an der G15 von logitech.ich weis echt nimmer weiter leutz.bisher hab ich mich als homie gut durchs pc leben gerungen aber sowas da bleibt mir nur ein nachdenkliches gesicht

ich poste direkt mal den bericht von hijack this:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:09:41, on 17.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Vtune\TBPanel.exe
C:\Programme\Java\jre1.5.0_14\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\DOKUME~1\Stiffler\LOKALE~1\Temp\setup56.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.restorebookmark.com/?cm=740363&lt=2&it=2008-05-11%2006%3A01%3A23&dt=2008-05-12%2013%3A55%3A50&q=http://www.galaxywars.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [Gainward] C:\Programme\Vtune\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_14\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [lphccklj0en05] C:\WINDOWS\system32\lphccklj0en05.exe
O4 - HKLM\..\Run: [SMrhc9klj0en05] <----gelöscht
C:\Programme\rhc9klj0en05\rhc9klj0en05.exe<-----gelöscht aber wird trotzdem angezeigt
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Somefox] C:\DOKUME~1\Stiffler\LOKALE~1\Temp\setup56.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F3C429A-1177-4C73-B208-561FA32EA6C0}: NameServer = xxxxxxxxxx<----edit
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6763 bytes

hoffe ich poste das hier im richtigen tread und hoffe das mir da einer rat geben kann

undoreal · 17.07.2008, 10:01

Halli hallo Godi_1970

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
Java, Instant-Messenger (ICQ), Anti-Viren Programme, e-Mail Progs (Outlook) und Browser (InternetExplorer/FireFox) sind besonders wichtig.
.
Update der Viren-Signaturen deines Anti-Viren Programmes.
.
Treiberupdate der Hardware (Grafikkarte, Soundkarte).
.
Windows Update -> Der Frischmacher.
.
Vernünftige Ordneransicht ->"Einstellungen".
.
Abschalten unnötiger Dienste:
XP -> dingens.org
Vista -> chip.de
.
Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
XP -> XP Firewall
Vista -> Vista Firewall
.
Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen kannst.

Häufig gestellte Fragen: XP | Vista

[/LIST]

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{6F3C429A-1177-4C73-B208-561FA32EA6C0}: NameServer = xxxxxxxxxx<----edit

was stand dort? IPs bitte nicht editieren!

- Deinstalliere bitte Spybot.

- Fixe mit HijackThis folgende Einträge:

Zitat:

O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing)
O4 - HKLM\..\Run: [lphccklj0en05] C:\WINDOWS\system32\lphccklj0en05.exe
O4 - HKLM\..\Run: [SMrhc9klj0en05]
C:\Programme\rhc9klj0en05\rhc9klj0en05.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F3C429A-1177-4C73-B208-561FA32EA6C0}: NameServer = xxxxxxxxxx

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Files to delete:
C:\WINDOWS\system32\lphccklj0en05.exe


Folders to delete:
C:\Programme\rhc9klj0en05

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

-Räume mit CCleaner auf.

- Durchsuche deinen Rechner mit Anti-Malware und SUPERAntiSpyware und poste beide logs.

Godi_1970 · 17.07.2008, 15:55

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\WINDOWS\system32\lphccklj0en05.exe" not found!
Deletion of file "C:\WINDOWS\system32\lphccklj0en05.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: folder "C:\Programme\rhc9klj0en05" not found!
Deletion of folder "C:\Programme\rhc9klj0en05" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

so der gewünschte log von avenger

bekomme seit neustem ein hinweis in der task das ich ein security problem hab.
zudem komm ich mit pc nach dem vorgang hier nicht mehr ins internet.gut das ich noch ein laptop habe^^

mit cccleaner werde ich jetzt anfangen^^

edit. hab mit cccleaner alle vorgänge gemacht.alles ist jetzt sauber^^

der nächste Scan konnte nicht durchgeführt werden, da Windows abbrach und der komplette HIntergrund blau wurde mit folgender Meldung:

A problem has been detcted and windows has been shut down to prevent damage to your computer.
BOGUS_DRIVER
If this is the first time you've seen this stop error screen, restart your computer. If this screen appears again, follow these steps:
Check to make sure that any new hardware or software is properly installed. If this is a new installation, ask your hardware or software manufacturer for any windows updates you might need. If problems continue, disable or remove any newly installed hardware or software. Disable BIOS memory options such as caching or shadowing. If you need o use safe mode to remove or disable components, restart your computer, press F8 to select advanced startup options, and then select safe mode.
TECHNICAL INFORMATON:
STOP: ("Hier kamen verschieden Dinge, wie z.B. OxOOOO1OO, OxOOOOOOO, OxBADCE04F......")

Wassoll ich tun?
Was hat das zu bedeuten?
Kann mir jemand helfen????

undoreal · 17.07.2008, 16:22

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

- SuperAntiSpyware -> log posten

- Anti-Malware -> log posten

- Frisches HijackThis log posten.

Godi_1970 · 17.07.2008, 17:05

Hat jetzt doch geklappt. Hier der Bericht:

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 930
Windows 5.1.2600 Service Pack 2

18:01:42 17.07.2008
mbam-log-7-17-2008 (18-01-42).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 69891
Scan Dauer: 5 minute(s), 45 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 22
Infizierte Dateien: 6

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Somefox (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Stiffler\Anwendungsdaten\rhc9klj0en05 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Stiffler\Anwendungsdaten\rhc9klj0en05\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Stiffler\Anwendungsdaten\rhc9klj0en05\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Stiffler\Anwendungsdaten\rhc9klj0en05\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Stiffler\Anwendungsdaten\rhc9klj0en05\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Stiffler\Anwendungsdaten\rhc9klj0en05\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Stiffler\Anwendungsdaten\rhc9klj0en05\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Stiffler\Anwendungsdaten\rhc9klj0en05\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Stiffler\Anwendungsdaten\rhc9klj0en05\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Stiffler\Anwendungsdaten\rhc9klj0en05\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Stiffler\Anwendungsdaten\rhc9klj0en05\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\goofy01\Anwendungsdaten\rhc9klj0en05 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\goofy01\Anwendungsdaten\rhc9klj0en05\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\goofy01\Anwendungsdaten\rhc9klj0en05\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\goofy01\Anwendungsdaten\rhc9klj0en05\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\goofy01\Anwendungsdaten\rhc9klj0en05\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\goofy01\Anwendungsdaten\rhc9klj0en05\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\goofy01\Anwendungsdaten\rhc9klj0en05\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\goofy01\Anwendungsdaten\rhc9klj0en05\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\goofy01\Anwendungsdaten\rhc9klj0en05\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\goofy01\Anwendungsdaten\rhc9klj0en05\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\goofy01\Anwendungsdaten\rhc9klj0en05\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\blphccklj0en05.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phccklj0en05.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pphccklj0en05.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Stiffler\Lokale Einstellungen\Temp\setup56.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\Dokumente und Einstellungen\Stiffler\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Stiffler\Lokale Einstellungen\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

Und nun mache ich SUPERAntiSpyware

So, hier ist es:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 07/17/2008 at 06:30 PM

Application Version : 4.15.1000

Core Rules Database Version : 3469
Trace Rules Database Version: 1460

Scan type : Complete Scan
Total Scan Time : 00:22:30

Memory items scanned : 344
Memory threats detected : 0
Registry items scanned : 4793
Registry threats detected : 0
File items scanned : 44640
File threats detected : 20

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Stiffler\Cookies\stiffler@atwola[1].txt
C:\Dokumente und Einstellungen\Stiffler\Cookies\stiffler@serving-sys[2].txt
C:\Dokumente und Einstellungen\Stiffler\Cookies\stiffler@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\Stiffler\Cookies\stiffler@2o7[1].txt
C:\Dokumente und Einstellungen\Stiffler\Cookies\stiffler@adopt.euroclick[2].txt
C:\Dokumente und Einstellungen\Stiffler\Cookies\stiffler@atdmt[2].txt
C:\Dokumente und Einstellungen\Stiffler\Cookies\stiffler@bs.serving-sys[1].txt

Browser Hijacker.Favorites
C:\DOKUMENTE UND EINSTELLUNGEN\STIFFLER\EIGENE DATEIEN\AZUREUS DOWNLOADS\-VA-NOW THATS WHAT I CALL MUSIC 68-\CD 1\CLICK HERE FOR FREE $ GIFT CARD$.URL
C:\DOKUMENTE UND EINSTELLUNGEN\STIFFLER\EIGENE DATEIEN\AZUREUS DOWNLOADS\-VA-NOW THATS WHAT I CALL MUSIC 68-\CD 1\CLICK HERE FOR FREE $ GIFT CARD.URL
C:\DOKUMENTE UND EINSTELLUNGEN\STIFFLER\EIGENE DATEIEN\AZUREUS DOWNLOADS\-VA-NOW THATS WHAT I CALL MUSIC 68-\CD 1\CLICK HERE FOR FREE $ GIFT CARDS.URL
C:\DOKUMENTE UND EINSTELLUNGEN\STIFFLER\EIGENE DATEIEN\AZUREUS DOWNLOADS\-VA-NOW THATS WHAT I CALL MUSIC 68-\CD 1\CLICK HERE FOR FREE $$ GIFT CARD.URL
C:\DOKUMENTE UND EINSTELLUNGEN\STIFFLER\EIGENE DATEIEN\AZUREUS DOWNLOADS\-VA-NOW THATS WHAT I CALL MUSIC 68-\CD 2\CLICK HERE FOR FREE $ GIFT CARD$.URL
C:\DOKUMENTE UND EINSTELLUNGEN\STIFFLER\EIGENE DATEIEN\AZUREUS DOWNLOADS\-VA-NOW THATS WHAT I CALL MUSIC 68-\CD 2\CLICK HERE FOR FREE $ GIFT CARD.URL
C:\DOKUMENTE UND EINSTELLUNGEN\STIFFLER\EIGENE DATEIEN\AZUREUS DOWNLOADS\-VA-NOW THATS WHAT I CALL MUSIC 68-\CD 2\CLICK HERE FOR FREE $ GIFT CARDS.URL
C:\DOKUMENTE UND EINSTELLUNGEN\STIFFLER\EIGENE DATEIEN\AZUREUS DOWNLOADS\-VA-NOW THATS WHAT I CALL MUSIC 68-\CD 2\CLICK HERE FOR FREE $$ GIFT CARD.URL
C:\DOKUMENTE UND EINSTELLUNGEN\STIFFLER\EIGENE DATEIEN\AZUREUS DOWNLOADS\-VA-NOW THATS WHAT I CALL MUSIC 68-\CLICK HERE FOR FREE $ GIFT CARD$.URL
C:\DOKUMENTE UND EINSTELLUNGEN\STIFFLER\EIGENE DATEIEN\AZUREUS DOWNLOADS\-VA-NOW THATS WHAT I CALL MUSIC 68-\CLICK HERE FOR FREE $ GIFT CARD.URL
C:\DOKUMENTE UND EINSTELLUNGEN\STIFFLER\EIGENE DATEIEN\AZUREUS DOWNLOADS\-VA-NOW THATS WHAT I CALL MUSIC 68-\CLICK HERE FOR FREE $ GIFT CARDS.URL
C:\DOKUMENTE UND EINSTELLUNGEN\STIFFLER\EIGENE DATEIEN\AZUREUS DOWNLOADS\-VA-NOW THATS WHAT I CALL MUSIC 68-\CLICK HERE FOR FREE $$ GIFT CARD.URL

Trojan.Unclassified-Packed/Suspicious
C:\SYSTEM VOLUME INFORMATION\_RESTORE{8DDF485A-BA2C-46FB-8C51-D34332E7172A}\RP1\A0001051.DLL

UND JETZT BITTE HELFEN!

Godi_1970 · 17.07.2008, 18:32

so hier den aktuellen hijack report:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:29:23, on 17.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Vtune\TBPanel.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Java\jre1.5.0_14\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [Gainward] C:\Programme\Vtune\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_14\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6476 bytes

hoffe das hilft euch weiter jetzt

undoreal · 17.07.2008, 18:39

Zitat:

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2

ich hatte dir am Anfange eine List mit Dingen gegeben die du vor der Bereinigung bitte abarbeiten solltest. Dazu gehörte in erster Linie ein System-Update. Warum hast du das noch nicht gemacht?

Godi_1970 · 17.07.2008, 18:47

öhm wie macht man ein sytemupdate?

hab alle scanner/progs mit ergebnissen gepostet.

zudem ist es echt ein hickhack momentan mit laptop zu arbeiten,abzuspeichern auf usb stick rechner zu starten und und und.das hin und her nerft.meine nerfen sind echt am ende.ich trete gleich in die kiste rein grml -.-

also sytemupdate wie geht das???

zudem gibt es einen weg die platte zu formatieren?dann sollte ich doch die probs aus dem weg geräumt haben.
ich weis nur net ob sich der trojaner aufs motherboard oder sonst wo ausserhalb der platte genistet hat.

hab eine zweite fp die könnte ich wechseln und windows installieren,dann die verseuchte als second installieren und formatieren.würde das gehn?

ich bekomm hier langsam echt nen koller.mit 38 machen die nerfen das nimmer mit

zudem dickes danke für die hilfen nur möchte ich gerne mal die scheiße bereinigt haben :/

zudem die combofix.exe wollte ich downloaden da sagt kaspersky mir das dort ein virus enthalten ist -.-

Godi_1970 · 17.07.2008, 21:49

sry das mit dem windows backup habe ich scheinbar übersehen bei all den programmen die hier gepostet wurden.

ich habe mich weiter schlau gemacht warum meine statatur net funzt im bios.es ist weil sie über USB lüppt grrrr

habe meine alte tasta angeschlossen und konnte somit im bios das so umstellen das der rechner zuerst von cd bootet.somit kann ich jetzt den rechner formatieren.ich hoffe,ich bete,ich bettel sogar das der mist damit ein ende hat.

falls sich trotzdem probleme hervorrufen melde ich mich diesbezüglich nochmal.

sry das ich den weg gewählt habe aber das warten auf antwort hat mich ein wenig zum psychopaten gemacht

trotzdem bis auf weiteres danke für die hilfe

Antivir xp 2008

Plagegeister aller Art und deren Bekämpfung: Antivir xp 2008

Antivir xp 2008

Antivir xp 2008

Antivir xp 2008

Antivir xp 2008

Antivir xp 2008

Antivir xp 2008

Antivir xp 2008

Antivir xp 2008

Antivir xp 2008

Ähnliche Themen: Antivir xp 2008