| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Kann Trojaner nicht löschenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
18.08.2008, 11:19
| #1 |
 |  Kann Trojaner nicht löschen hi Ich habe folgendes Problem ich habe mir eine Datei aus dem Internet heruntergeladen. Nachdem ich ihn das nächstemal hochgefahren habe waren meine Desktop Icons weg die Taskleiste fehlte und auf meinem Hntergrund stand irgendwas von Spyware detected. Also habe ich den rechner mit AntiVir Guard überprüft. Der hat dan zig Viren gefunden die ich dan auch gelöscht habe, bis auf 3: C:/WINDOWS/System32/rqRjbxp.dll C:/WINDOWS/System32/rqPjbXp.dll C:/WINDOWS/System32/tuvWomkc.dll wenn AntiVir eben diese Viren findet kommt die nachricht ob ich sie nach einem Neustart löschen muss aber sie sind jedesmal wieder/noch da und wenn ich sie versuche Manuell zu löschen kommt die Nachricht das das gerade von irgendwas benutzt wird und deshalb nicht gelöscht werden kann, ich bin dan mal auf die Idee gekommen die Systemwiederherstellung zu aktiviren jetzt ist der Explorer die Taskleiste und mein Desktop zwar wieder da aber das Internet funzt nicht mehr. Ich benutze einen wireless Stick und das Programm Netgear Wg111v3 um eine Verbindung aufzubauen. Es kommt die Nachricht das ich eine eingeschränkte bzw. keine konnektivität habe und das das an meiner Netzwerk adresse liegt. Auch wenn ich meine ip auf Manuell oder Automatisch setze ändert das nichts, und ich habe einen Brief von der Telekom erhalten das von meinem Rechner aus Spam versendet wird.  Den Rechner neu aufzusetzen kommt für mich nicht infrage da ich weder eine eine Windows Cd noch einen code besitze. Ich wäre dankbar wenn mir jemand sagen könnte wie ich den PC dazu "zwingen" könnte den Trojaner ohne Neustart zu löschen. |
|
18.08.2008, 18:47
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Kann Trojaner nicht löschenZitat:
 Dann hast Du aber ein Problem bei Backdoorbefall und der ist bei dieser Sachlage garnicht so unwahrscheinlich, wenn Dein Rechner ständig Spam versendet. Wenn Du weder CD-Key noch Windows-CD hast, drängt sich mir das Gefühl auf, daß Du gar keine Windowslizenz hast. Kauf Dir ein Original-Windows-XP und Du wirst hinsichtlich dieser beiden Dinge auch keine Probleme mehr haben. (Ich geh jetzt einfach mal davon aus, daß Du WinXP benutzt, auch wenn Du es nicht nanntest, obwohl Du lt. den NUBs das run solltest) Ansonsten gibt es noch Möglichkeiten sich eine Windows-CD zu basteln und den Windows-Key auszulesen. Die Windows-CD zu basteln würde ich bei Deinem verseuchten PC aber nicht machen, dann lieber eine CD von nem Bekannten oder nem Nachbarn ausleihen. Acker diese Punkte für weitere Analysen ab: A.) Poste ein Hijackthis Logfile. B.) Führe dieses MBR-Tool aus und poste die Ausgabe C.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten D.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________ |
|
19.08.2008, 06:27
| #3 |
| | Kann Trojaner nicht löschen ok danke erstmal, das wird jetzt erstmal dauern. Und ja ich hab Windows XP.
__________________ |
|
20.08.2008, 08:43
| #4 |
| | Kann Trojaner nicht löschen alsooo ich poste mal einfach alles was die programme ausgespuckt haben in der hoffnung das ich das jetzt richtig gemacht habe ComboFix: Code:
ATTFilter ComboFix 08-08-18.05 - julian2 2008-08-20 8:23:48.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1241 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\julian2\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\julian2\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\License Agreement.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Uninstall.lnk
C:\Dokumente und Einstellungen\Julian\UserData
C:\Dokumente und Einstellungen\Julian\UserData\6F652ZAH\oXMLStore[1].xml
C:\Dokumente und Einstellungen\Julian\UserData\index.dat
C:\Dokumente und Einstellungen\Julian\UserData\ULA38B0B\IsOnIE6tbPromo[1].xml
C:\Dokumente und Einstellungen\julian2\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\Dokumente und Einstellungen\julian3\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\Dokumente und Einstellungen\julian4\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\jestertb.dll
C:\WINDOWS\system32\BReWErS.dll
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\rqRjIbXp.dll
C:\WINDOWS\system32\tuvWomKc.dll
----- BITS: Eventuell infizierte Webseiten -----
http://www.freewebtown.com
http://furqoun.funpic.org
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_fci
((((((((((((((((((((((( Dateien erstellt von 2008-07-20 bis 2008-08-20 ))))))))))))))))))))))))))))))
.
2008-08-20 07:57 . 2008-08-20 07:57 61,440 --a------ C:\WINDOWS\system32\drivers\lkddzic.sys
2008-08-20 07:25 . 2008-08-20 07:25 <DIR> d-------- C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\Malwarebytes
2008-08-20 07:25 . 2008-08-20 07:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-20 07:25 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-20 07:25 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-19 06:37 . 2008-08-19 06:37 <DIR> dr------- C:\Dokumente und Einstellungen\julian4\Eigene Dateien
2008-08-19 06:37 . 2008-08-19 06:55 202 --a------ C:\Dokumente und Einstellungen\julian4\IEImageRR.dll
2008-08-19 06:36 . 2006-07-14 22:08 <DIR> d--h----- C:\Dokumente und Einstellungen\julian4\Vorlagen
2008-08-19 06:36 . 2006-07-14 22:08 <DIR> dr------- C:\Dokumente und Einstellungen\julian4\Startmen
2008-08-19 06:36 . 2006-07-14 22:08 <DIR> d--h----- C:\Dokumente und Einstellungen\julian4\Netzwerkumgebung
2008-08-19 06:36 . 2006-07-14 22:08 <DIR> d--h----- C:\Dokumente und Einstellungen\julian4\Lokale Einstellungen
2008-08-19 06:36 . 2008-08-19 06:37 <DIR> dr------- C:\Dokumente und Einstellungen\julian4\Favoriten
2008-08-19 06:36 . 2006-07-14 22:08 <DIR> d--h----- C:\Dokumente und Einstellungen\julian4\Druckumgebung
2008-08-19 06:36 . 2006-07-14 22:08 <DIR> dr-h----- C:\Dokumente und Einstellungen\julian4\Anwendungsdaten
2008-08-19 06:36 . 2008-08-19 06:36 <DIR> d-------- C:\Dokumente und Einstellungen\julian4
2008-08-18 04:06 . 2008-08-18 04:06 <DIR> dr-h----- C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\SecuROM
2008-08-17 12:08 . 2008-08-17 12:08 <DIR> d-------- C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\dvdcss
2008-08-15 07:37 . 2008-08-15 07:37 <DIR> d--hs---- C:\FOUND.008
2008-08-15 05:31 . 2008-08-15 05:31 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-08-15 01:39 . 2008-08-15 01:39 <DIR> d--hs---- C:\FOUND.007
2008-08-15 01:26 . 2008-08-15 01:26 <DIR> dr------- C:\Dokumente und Einstellungen\julian3\Eigene Dateien
2008-08-15 01:26 . 2008-08-15 02:50 202 --a------ C:\Dokumente und Einstellungen\julian3\IEImageRR.dll
2008-08-15 01:25 . 2006-07-14 22:08 <DIR> d--h----- C:\Dokumente und Einstellungen\julian3\Vorlagen
2008-08-15 01:25 . 2006-07-14 22:08 <DIR> dr------- C:\Dokumente und Einstellungen\julian3\Startmen
2008-08-15 01:25 . 2006-07-14 22:08 <DIR> d--h----- C:\Dokumente und Einstellungen\julian3\Netzwerkumgebung
2008-08-15 01:25 . 2006-07-14 22:08 <DIR> d--h----- C:\Dokumente und Einstellungen\julian3\Lokale Einstellungen
2008-08-15 01:25 . 2008-08-15 01:26 <DIR> dr------- C:\Dokumente und Einstellungen\julian3\Favoriten
2008-08-15 01:25 . 2006-07-14 22:08 <DIR> d--h----- C:\Dokumente und Einstellungen\julian3\Druckumgebung
2008-08-15 01:25 . 2006-07-14 22:08 <DIR> dr-h----- C:\Dokumente und Einstellungen\julian3\Anwendungsdaten
2008-08-15 01:25 . 2008-08-15 01:25 <DIR> d-------- C:\Dokumente und Einstellungen\julian3
2008-08-15 01:16 . 2008-08-15 01:16 <DIR> d--hs---- C:\FOUND.006
2008-08-14 02:53 . 2008-08-14 02:53 <DIR> d-------- C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\DivX
2008-08-14 02:53 . 2008-08-14 02:53 <DIR> d-------- C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\Ahead
2008-08-11 23:03 . 2008-08-11 23:03 <DIR> d--hs---- C:\FOUND.005
2008-08-11 20:25 . 2008-08-11 20:25 <DIR> d-------- C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\ICQ
2008-08-10 15:59 . 2008-08-20 08:00 202 --a------ C:\Dokumente und Einstellungen\julian2\IEImageRR.dll
2008-08-09 18:33 . 2008-08-09 18:33 <DIR> d-------- C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\vlc
2008-08-09 13:49 . 2008-08-09 13:49 <DIR> d-------- C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\Xfire
2008-08-09 13:42 . 2008-08-09 13:42 <DIR> d-------- C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\InstallShield
2008-08-09 13:41 . 2008-08-10 15:58 <DIR> dr------- C:\Dokumente und Einstellungen\julian2\Eigene Dateien
2008-08-09 13:40 . 2006-07-14 22:08 <DIR> dr------- C:\Dokumente und Einstellungen\julian2\Startmen
2008-08-09 13:40 . 2006-07-14 22:08 <DIR> d--h----- C:\Dokumente und Einstellungen\julian2\Netzwerkumgebung
2008-08-09 13:40 . 2006-07-14 22:08 <DIR> d--h----- C:\Dokumente und Einstellungen\julian2\Lokale Einstellungen
2008-08-09 13:40 . 2008-08-10 15:58 <DIR> dr------- C:\Dokumente und Einstellungen\julian2\Favoriten
2008-08-09 13:40 . 2006-07-14 22:08 <DIR> d--h----- C:\Dokumente und Einstellungen\julian2\Druckumgebung
2008-08-09 13:40 . 2006-07-14 22:08 <DIR> dr-h----- C:\Dokumente und Einstellungen\julian2\Anwendungsdaten
2008-08-09 13:40 . 2008-08-09 13:40 <DIR> d-------- C:\Dokumente und Einstellungen\julian2
2008-08-08 13:42 . 2008-08-08 13:42 <DIR> d--hs---- C:\FOUND.004
2008-08-07 18:08 . 2008-08-07 18:08 29 --a------ C:\WINDOWS\system32\yogshetw.tmp
2008-07-31 18:21 . 2008-07-31 18:21 126,976 --a------ C:\WINDOWS\War3Unin.exe
2008-07-29 12:42 . 2008-05-23 00:22 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-07-29 12:42 . 2008-05-23 00:22 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-07-29 12:42 . 2008-05-23 00:22 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-07-28 16:00 . 2001-08-18 04:53 8,192 --a------ C:\WINDOWS\system32\kbdkor.dll
2008-07-28 16:00 . 2001-08-18 04:53 8,192 --a------ C:\WINDOWS\system32\dllcache\kbdkor.dll
2008-07-28 15:59 . 2001-08-18 04:53 8,704 --a------ C:\WINDOWS\system32\kbdjpn.dll
2008-07-28 15:59 . 2001-08-18 04:53 8,704 --a------ C:\WINDOWS\system32\dllcache\kbdjpn.dll
2008-07-28 15:59 . 2001-08-17 14:55 6,144 --a------ C:\WINDOWS\system32\kbd106.dll
2008-07-28 15:59 . 2001-08-17 14:55 6,144 --a------ C:\WINDOWS\system32\kbd101c.dll
2008-07-28 15:59 . 2001-08-17 14:55 6,144 --a------ C:\WINDOWS\system32\kbd101b.dll
2008-07-28 15:59 . 2001-08-17 14:55 6,144 --a------ C:\WINDOWS\system32\dllcache\kbd106.dll
2008-07-28 15:59 . 2001-08-17 14:55 6,144 --a------ C:\WINDOWS\system32\dllcache\kbd101c.dll
2008-07-28 15:59 . 2001-08-17 14:55 6,144 --a------ C:\WINDOWS\system32\dllcache\kbd101b.dll
2008-07-28 15:59 . 2001-08-17 14:55 5,632 --a------ C:\WINDOWS\system32\kbd103.dll
2008-07-28 15:59 . 2001-08-17 14:55 5,632 --a------ C:\WINDOWS\system32\dllcache\kbd103.dll
2008-07-28 12:11 . 2008-07-28 12:11 <DIR> d--hs---- C:\FOUND.003
2008-07-23 13:48 . 2008-07-23 13:48 <DIR> d--hs---- C:\FOUND.002
2008-07-20 10:51 . 2008-07-20 10:52 <DIR> d-------- C:\Programme\Avira
2008-07-20 10:47 . 2008-07-20 10:47 0 --ah----- C:\WINDOWS\BIT1D4.tmp
2008-07-20 10:47 . 2008-07-20 10:47 0 --ah----- C:\WINDOWS\BIT1D3.tmp
2008-07-20 10:47 . 2008-07-20 10:47 0 --ah----- C:\WINDOWS\BIT1D2.tmp
2008-07-20 10:47 . 2008-07-20 10:47 0 --ah----- C:\WINDOWS\BIT1D1.tmp
2008-07-20 10:47 . 2008-07-20 10:47 0 --ah----- C:\WINDOWS\BIT1D0.tmp
2008-07-20 10:47 . 2008-07-20 10:47 0 --ah----- C:\WINDOWS\BIT1CF.tmp
2008-07-20 10:47 . 2008-07-20 10:47 0 --ah----- C:\WINDOWS\BIT1CE.tmp
2008-07-20 10:47 . 2008-07-20 10:47 0 --ah----- C:\WINDOWS\BIT1CD.tmp
2008-07-20 10:47 . 2008-07-20 10:47 0 --ah----- C:\WINDOWS\BIT1CC.tmp
2008-07-20 10:46 . 2008-07-20 10:46 0 --ah----- C:\WINDOWS\BIT1CB.tmp
2008-07-20 10:46 . 2008-07-20 10:46 0 --ah----- C:\WINDOWS\BIT1CA.tmp
2008-07-20 10:46 . 2008-07-20 10:46 0 --ah----- C:\WINDOWS\BIT1C9.tmp
2008-07-20 10:46 . 2008-07-20 10:46 0 --ah----- C:\WINDOWS\BIT1C8.tmp
2008-07-20 10:45 . 2008-07-20 10:45 0 --ah----- C:\WINDOWS\BIT1C7.tmp
2008-07-20 10:45 . 2008-07-20 10:45 0 --ah----- C:\WINDOWS\BIT1C6.tmp
2008-07-20 10:43 . 2008-07-20 10:44 0 --ah----- C:\WINDOWS\BIT19B.tmp
2008-07-20 10:42 . 2008-07-20 10:42 0 --ah----- C:\WINDOWS\BITFF.tmp
2008-07-20 10:41 . 2008-07-20 10:42 0 --ah----- C:\WINDOWS\BITE7.tmp
2008-07-20 10:40 . 2008-07-20 10:41 0 --ah----- C:\WINDOWS\BIT99.tmp
2008-07-20 10:39 . 2008-07-20 10:39 0 --ah----- C:\WINDOWS\BIT6B.tmp
2008-07-20 10:38 . 2008-07-20 10:39 0 --ah----- C:\WINDOWS\BIT52.tmp
2008-07-20 10:38 . 2008-07-20 10:38 0 --ah----- C:\WINDOWS\BIT51.tmp
2008-07-20 10:38 . 2008-07-20 10:38 0 --ah----- C:\WINDOWS\BIT50.tmp
2008-07-20 10:38 . 2008-07-20 10:38 0 --ah----- C:\WINDOWS\BIT4F.tmp
2008-07-20 10:38 . 2008-07-20 10:38 0 --ah----- C:\WINDOWS\BIT4E.tmp
2008-07-20 10:38 . 2008-07-20 10:46 0 --ah----- C:\WINDOWS\BIT4D.tmp
2008-07-20 10:37 . 2008-07-20 10:41 0 --ah----- C:\WINDOWS\BIT43.tmp
2008-07-20 10:37 . 2008-07-20 10:40 0 --ah----- C:\WINDOWS\BIT41.tmp
2008-07-20 10:37 . 2008-07-20 10:40 0 --ah----- C:\WINDOWS\BIT40.tmp
2008-07-20 10:36 . 2008-07-20 10:37 0 --ah----- C:\WINDOWS\BIT2F.tmp
2008-07-20 10:36 . 2008-07-20 10:36 0 --ah----- C:\WINDOWS\BIT2E.tmp
2008-07-20 10:36 . 2008-07-20 10:36 0 --ah----- C:\WINDOWS\BIT2D.tmp
2008-07-20 00:05 . 2008-07-20 00:06 186,367 --ah----- C:\WINDOWS\BIT1B5.tmp
2008-07-20 00:05 . 2008-07-20 10:36 0 --ah----- C:\WINDOWS\BIT1BB.tmp
2008-07-20 00:05 . 2008-07-20 00:06 0 --ah----- C:\WINDOWS\BIT1B7.tmp
2008-07-20 00:05 . 2008-07-20 00:06 0 --ah----- C:\WINDOWS\BIT1B4.tmp
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-06 19:38 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-07-31 16:21 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-07-20 08:35 4,317,184 ----a-w C:\WINDOWS\system32\IEImageRR.dll
2008-07-19 20:03 186,367 ---ha-w C:\WINDOWS\BIT4.tmp
2008-07-19 19:53 186,367 ---ha-w C:\WINDOWS\BIT1B1.tmp
2008-07-19 11:05 --------- d-----w C:\Programme\Ahead
2008-07-12 23:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2008-07-12 23:09 --------- d-----w C:\Programme\Gemeinsame Dateien\AVSMedia
2008-07-12 23:09 --------- d-----w C:\Programme\AVS4YOU
2008-07-09 13:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
2008-07-09 13:05 68,096 ----a-w C:\WINDOWS\ScUnin.exe
2008-07-02 12:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2008-07-02 12:13 --------- d-----w C:\Programme\ICQ6
2008-06-27 12:04 --------- d-----w C:\Programme\MSXML 4.0
2008-05-30 23:22 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-05-30 23:22 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-05-30 23:22 815,104 ----a-w C:\WINDOWS\system32\divx_xx0a.dll
2008-05-30 23:22 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-05-30 23:22 683,520 ----a-w C:\WINDOWS\system32\DivX.dll
2008-05-30 23:22 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-05-30 23:22 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-05-30 23:22 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-05-30 23:22 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-05-30 23:22 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-05-30 23:22 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-05-22 22:22 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-05-22 22:22 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-05-22 22:22 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-05-22 22:22 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-05-22 22:20 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-05-22 22:20 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-22 22:19 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-05-22 22:19 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-05-22 22:19 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-05-22 22:18 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2001-11-23 05:08 712,704 ----a-r C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2008-07-19 19:52 259 ----a-w C:\Programme\internet explorer\plugins\IEImageRR.dll
2006-02-17 19:05 1,682 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2006-02-17 19:05 56 --sh--r C:\WINDOWS\system32\299B1E2D1C.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 12:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 01:11 1667584]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43 7630848]
"DXM6Patch_981116"="C:\WINDOWS\p_981116.exe" [1998-11-30 18:04 497376]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-08-11 21:43 86016]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 22:32 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 22:32 455168]
"Internet Explorer Content Server"="C:\Programme\Internet Explorer\PLUGINS\cssrv.exe" [2008-07-20 10:34 159422]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"nwiz"="nwiz.exe" [2006-08-11 21:43 1519616 C:\WINDOWS\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 12:00 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoChangeAnimation"= 1 (0x1)
"NoStrCmpLogical"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
2001-12-21 00:34 24576 D:\Programme\AlienGUIse\fastload.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\WINDOWS\sysloader32v.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.VDOM"= vdowave.drv
"VIDC.TR20"= tr2032.dll
"msacm.voxacm119"= vdk32119.acm
"vidc.vivo"= ivvideo.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\tuvWomKc
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NETGEAR WG111v2 Smart Wizard.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NETGEAR WG111v2 Smart Wizard.lnk
backup=C:\WINDOWS\pss\NETGEAR WG111v2 Smart Wizard.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
--a------ 2004-03-12 23:43 81920 D:\Programme\D-Tools\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GameXL]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 2006-09-10 22:56 218032 C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
--a------ 2006-09-10 22:56 86960 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
-ra------ 2003-03-20 09:21 1855488 C:\WINDOWS\mixer.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"W32Time"=2 (0x2)
"StarWindServiceAE"=2 (0x2)
"PnkBstrB"=2 (0x2)
"PnkBstrA"=2 (0x2)
"iPod Service"=3 (0x3)
"IDriverT"=3 (0x3)
"ICQ Service"=2 (0x2)
"helpsvc"=2 (0x2)
"Eventlog"=2 (0x2)
"Alerter"=2 (0x2)
"6to4"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\THQ\\Dawn Of War\\W40k.exe"=
"D:\\Programme\\Warcraft III\\Warcraft III.exe"=
"D:\\Programme\\LucasArts\\Star Wars Battlefront II\\GameData\\battlefrontII.exe"=
"D:\\Programme\\Xfire\\Xfire.exe"=
"D:\\System\\Unreal.exe"=
"D:\\Programme\\LittleFighter2\\LF2_v1.9\\lf2.exe"=
"D:\\Spiele\\FEAR\\fpupdate.exe"=
"C:\\WINDOWS\\System32\\dplaysvr.exe"=
"D:\\Spiele\\Cossacks - Back To War\\dmcr.exe"=
"D:\\Programme\\TrackMania United\\TmUnited.exe"=
"D:\\Programme\\Metin2_Germany\\metin2.bin"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys [2004-03-12 22:41]
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys [2004-03-12 22:41]
S1 3ac25d09;3ac25d09;C:\WINDOWS\system32\drivers\3ac25d09.sys []
S3 epstw2k;SCM Parallelanschluss-SCSI-Treiber;C:\WINDOWS\system32\DRIVERS\epstw2k.sys [2001-08-17 13:50]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2006-03-27 17:53]
S3 scsiscan;SCSI-Scannertreiber;C:\WINDOWS\system32\DRIVERS\scsiscan.sys [2001-08-17 13:53]
S4 ICQ Service;ICQ Service;C:\Programme\ICQ6Toolbar\ICQ Service.exe []
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -
HKLM-Run-resfixmsi - C:\WINDOWS\resfix32v.exe
MSConfigStartUp-QuickTime Task - C:\Programme\QuickTime\qttask.exe
MSConfigStartUp-Skype - C:\Programme\Skype\Phone\Skype.exe
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\Mozilla\Firefox\Profiles\eaude57f.default\
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-20 08:28:04
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Scanne versteckte Prozesse...
C:\Programme\Internet Explorer\PLUGINS\cssrv.exe [1968] 0x89C09C88
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\RtlGina2.dll
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\UAService7.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-20 8:30:00 - PC wurde neu gestartet [julian2]
ComboFix-quarantined-files.txt 2008-08-20 06:29:58
Pre-Run: 1,071,841,280 Bytes frei
Post-Run: 3,304,366,080 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
321
Geändert von Taddl (20.08.2008 um 08:52 Uhr) |
|
20.08.2008, 08:44
| #5 |
| | Kann Trojaner nicht löschen HJTI: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 07:10:56, on 20.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe D:\Programme\VideoLAN\VLC\vlc.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe O1 - Hosts: 85.214.89.232 status.wow-europe.com O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (file missing) O3 - Toolbar: Mario Forever Toolbar - {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} - C:\Programme\Mario Forever Toolbar\v3.2.0.0\MarioForever_Toolbar.dll (file missing) O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [resfixmsi] C:\WINDOWS\resfix32v.exe O4 - HKLM\..\Run: [Internet Explorer Content Server] C:\Programme\Internet Explorer\PLUGINS\cssrv.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1535.exe 61A847B5BBF7281337983D466188719AB689201522886B092CBD44BD8689220221DD3257 O4 - HKLM\..\Run: [webHancer Agent] C:\Programme\webHancer\Programs\whagent.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU) O10 - Broken Internet access because of LSP chain gap (#1 in chain of 36 missing) O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL (file missing) O20 - AppInit_DLLs: C:\WINDOWS\sysloader32v.dll O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\icf.exe.exe:exe.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe -- End of file - 5021 bytes mbr: Code:
ATTFilter Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
fsbl: Code:
ATTFilter 08/20/08 07:18:33 [Info]: BlackLight Engine 1.0.70 initialized
08/20/08 07:18:33 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/20/08 07:18:33 [Note]: 7019 4
08/20/08 07:18:33 [Note]: 7005 0
08/20/08 07:18:33 [Error]: 6027 1450
08/20/08 07:18:33 [Error]: 6002 0
08/20/08 07:18:37 [Note]: 7006 0
08/20/08 07:18:37 [Note]: 7011 2004
08/20/08 07:18:37 [Note]: 7035 0
08/20/08 07:18:37 [Note]: 8001 2
08/20/08 07:18:37 [Note]: 7024 3
08/20/08 07:18:37 [Info]: Hidden process: C:\Programme\Internet Explorer\PLUGINS\cssrv.exe
08/20/08 07:18:39 [Note]: FSRAW library version 1.7.1024
08/20/08 07:18:58 [Note]: 2000 1012
08/20/08 07:18:58 [Note]: 2000 1012
08/20/08 07:18:58 [Note]: 2000 1012
08/20/08 07:18:58 [Note]: 2000 1012
08/20/08 07:18:58 [Note]: 7002 0
08/20/08 07:19:31 [Note]: 7007 0
mbam: Code:
ATTFilter Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1062
Windows 5.1.2600 Service Pack 2
07:56:44 20.08.2008
mbam-log-08-20-2008 (07-56-28).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 140086
Laufzeit: 29 minute(s), 36 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 22
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 25
Infizierte Dateien: 39
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
C:\WINDOWS\system32\tuvWomKc.dll (Trojan.Vundo.H) -> No action taken.
C:\Programme\webHancer\Programs\whiehlpr.dll (Adware.WebHancer) -> No action taken.
C:\WINDOWS\system32\rqRjIbXp.dll (Trojan.Vundo) -> No action taken.
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{276735ae-e736-4669-be08-f5e8f425a819} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ef94f36b-384d-4008-8a5f-c9f6324b825f} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rqrjibxp (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\whiehelperobj.whiehelperobj.1 (Adware.WebHancer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{276735ae-e736-4669-be08-f5e8f425a819} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcrr1j0e93l (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\rhcrr1j0e93l (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{c89435b0-cdfe-11d3-976a-00e02913a9e0} (Adware.WebHancer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webHancer Agent (Adware.WebHancer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ef94f36b-384d-4008-8a5f-c9f6324b825f} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fci (Rootkit.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c900b400-cdfe-11d3-976a-00e02913a9e0} (Adware.WebHancer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c900b400-cdfe-11d3-976a-00e02913a9e0} (Adware.WebHancer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ICF (Rootkit.Agent) -> No action taken.
HKEY_CLASSES_ROOT\whiehelperobj.whiehelperobj (Adware.WebHancer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\webHancer (Adware.WebHancer) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{c8cb3870-cdfe-11d3-976a-00e02913a9e0} (Adware.WebHancer) -> No action taken.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\runner1 (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{ef94f36b-384d-4008-8a5f-c9f6324b825f} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\webhancer agent (Adware.Webhancer) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\tuvwomkc -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\tuvwomkc -> No action taken.
Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\rhcrr1j0e93l\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\rhcrr1j0e93l\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\rhcrr1j0e93l (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Packages (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\rhcrr1j0e93l (Rogue.Multiple) -> No action taken.
C:\Programme\webHancer\Programs (Adware.Webhancer) -> No action taken.
C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\rhcrr1j0e93l\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Microsoft\dtsc (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\rhcrr1j0e93l\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Packages (Rogue.Multiple) -> No action taken.
C:\Programme\webHancer (Adware.Webhancer) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\julian2\Anwendungsdaten\rhcrr1j0e93l\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
Infizierte Dateien:
C:\WINDOWS\system32\tuvWomKc.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\rqRjIbXp.dll (Trojan.Vundo.H) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6T7WD0RE\sys[1].exe (Adware.Webhancer) -> No action taken.
C:\WINDOWS\system32\cKmoWvut.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\cKmoWvut.ini2 (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\byXPHwUm.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\geBuuVpn.dll (Trojan.Vundo) -> No action taken.
C:\.protected (Rogue.Multiple) -> No action taken.
C:\WINDOWS\system32\efcBsTMc.dll (Trojan.Vundo) -> No action taken.
C:\Programme\webHancer\Programs\whiehlpr.dll (Adware.WebHancer) -> No action taken.
C:\WINDOWS\system32\nnnnLeBt.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ssqOETnO.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\byXNddEt.dll (Trojan.Vundo) -> No action taken.
C:\Programme\webHancer\Programs\license.txt (Adware.Webhancer) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Microsoft\dtsc\s (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\awttqopo.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ljJYRKCs.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ljJDSKCr.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\jkkHYrRl.dll (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NRX77X8W\rkdnxghe[1].txt (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\geBqOfdc.dll (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> No action taken.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6T7WD0RE\rkdnxghe[1].txt (Trojan.Downloader) -> No action taken.
C:\Programme\webHancer\Programs\whagent.ini (Adware.Webhancer) -> No action taken.
C:\WINDOWS\system32\ljJDUmmJ.dll (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> No action taken.
C:\WINDOWS\system32\phcvr1j0e93l.bmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\blphcvr1j0e93l.scr (Trojan.FakeAlert) -> No action taken.
C:\Programme\webHancer\Programs\whinstaller.exe (Adware.Webhancer) -> No action taken.
C:\Programme\webHancer\Programs\sporder.dll (Adware.Webhancer) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temp\sys.exe (Adware.Webhancer) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> No action taken.
C:\Programme\webHancer\Programs\whagent.exe (Adware.Webhancer) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temp\CmdLineExt02.dll (Trojan.Agent) -> No action taken.
C:\Programme\webHancer\Programs\readme.txt (Adware.Webhancer) -> No action taken.
C:\Programme\webHancer\Programs\webhdll.dll (Adware.Webhancer) -> No action taken.
Geändert von Taddl (20.08.2008 um 08:53 Uhr) |
|
20.08.2008, 09:42
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ |  Kann Trojaner nicht löschenCode:
ATTFilter 08/20/08 07:18:37 [Info]: Hidden process: C:\Programme\Internet Explorer\PLUGINS\cssrv.exe
Dein System ist kompromittiert und sollte daher neu aufgesetzt werden.
__________________ --> Kann Trojaner nicht löschen |
|
20.08.2008, 11:07
| #7 |
| | Kann Trojaner nicht löschen ok vielen dank für die schnelle hilfe ich werds dan mal mit der systemwiederherstellung versuchen |
|
20.08.2008, 11:29
| #8 |
| | Kann Trojaner nicht löschen also ich hab jetzt es mit dem system wiederherstellungsteil das im leitfaden von combofix angeboten wird versucht. Dan ist allerdings die meldung gekommen das viren auf der festplatte sind und ich neu starten soll, allerdings funktioniert jetzt garnichts mehr immer wen der Bildschirm kommt wo ich zwischen normal windows und dem recovery teil auswählen soll startet er einfach neu. Also wenn ich mir jetzt eine Windows CD kaufen würde bräuchte ich dann eine neue Festplatte?? oder kann ich das problem irgendwie aders lösen mit Bios oder so? |
|
20.08.2008, 11:38
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Kann Trojaner nicht löschen Nix Systemwiederherstellung - das ist kein Neuaufsetzen und die SWH bringt kein vertrauenswürdiges System wieder zurück. Wenn Du Dir ne Windows-CD besorgst bzw ne XP-Lizenz erwirbst, kannst Du mit der Windows-Setup-CD den PC booten und dann neu aufsetzen. In der Anleitung für die Windows-Neuinstallation ist das beschrieben, im Laufe des Setups kannst Du Deine jetzige Platte formatieren, Partitionen löschen und neu erstellen. Du brauchst also keine neue Platte zu kaufen.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
20.08.2008, 12:06
| #10 |
| | Kann Trojaner nicht löschen ok danke jetzt muss ich nur noch irgendwie an geld komme  |
|
20.08.2008, 12:09
| #11 |
 | Kann Trojaner nicht löschen Wieso geld? Du brauchst nur den Lizenz-Key, der mit einem Hologrammsticker auf deinem Rechner irgendwo klebt und das hier. mfg
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
20.08.2008, 12:20
| #12 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Kann Trojaner nicht löschenZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.08.2008, 12:48
| #13 | |
| | Kann Trojaner nicht löschenZitat:
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
24.08.2008, 16:30
| #14 |
| | Kann Trojaner nicht löschen neue frage alsoo der virus oder was das ist sperrt irgendwie meine ip Adresse gibt es ein programm mit dem ich die ip erneuern kann? Ich das mal gegooglet aber nichts gefunden denn Prozess kann ich nicht löschen, ich hab einfach das PLUGINS\cssrv.exe mal gelöscht hatt aber nichts gebracht. Kann linux mir da helfen? Ich seh da ja auch die Windows Dateien.und wenn ich bei der Console ipconfig/renew eingeb kommt die Fehlermeldung: Bei Aktualisieren der Schnittstelle "Drahtlose Netzwerkverbindungen10" ist folgender Fehler Aufgetreten: Der RPC-Server ist nicht verfügbar. Geändert von Taddl (24.08.2008 um 17:19 Uhr) |
|
24.08.2008, 16:58
| #15 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Kann Trojaner nicht löschenZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Kann Trojaner nicht löschen |
| antivir, antivir guard, brief, datei, desktop, ellung, explorer, folge, frage, gelöscht, icons, icons weg, internet, keine konnektivität, löschen, netgear, netzwerk, neustart, problem, programm, spam, spyware, stick, systemwiederherstellung, taskleiste, telekom, trojaner, viren, wireless |
Linear-Darstellung
