| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Google leitet mich ständig umWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
25.08.2008, 13:53
| #1 |
 |  Google leitet mich ständig um Hallo allerseits, ich habe hier schon einige Beiträge zu dem Thema gelesen, jedoch habe ich das Gefühl, dass es keine allgemeingültige Anleitung hierzu gibt. Also folgendes: Ich habe WinXP und nutze überwiegend Firefox. Wenn ich jetzt Google nutze und dann aus den Ergebnissen den Link anwähle, dann werde ich ständig auf unnütze Seite geleitet. Leider komme ich nicht viel weiter mit meiner Suche. Ich hatte Spybot drauf, dieses hat mir auch was angezeigt. Nachdem ich hier aber kein Update mehr machen konnte, wollte ich es neu installieren, was komischerweise nicht mehr geht. Als Virenscanner nutze ich Antivir. Der findet nichts. Ergebniss Hijack: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:50:00, on 25.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\wudfhost.exe C:\WINDOWS\Explorer.EXE C:\Programme\ULI5289\ALi5289.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe D:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Cyberlink\Shared files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe D:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\System32\alg.exe D:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wwk.de/ F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\oembios.exe, O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [ALi5289] C:\Programme\ULI5289\ALi5289.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min /nosplash" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Google Desktop] C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: An vorhandenes PDF anfügen - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - D:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - D:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 8468 bytes Wäre super, wenn mir hier jemand helfen kann.... Gruß Xkwadrat |
|
25.08.2008, 14:30
| #2 | |
  | Google leitet mich ständig um Hi,
__________________viel gibt das Log nicht her... Bitte folgende Files prüfen: Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Poste die Ergebnisse mit Filename... MAM und ComboFix: Malwarebytes Antimalware (MAM). Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/. Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Beide laufen lassen und bitte das Log posten... Avira-Antirootkit Downloade Avira Antirootkit und Scanne dein system, poste das logfile. http://dl.antivir.de/down/windows/antivir_rootkit.zip Poste auch dieses Log chris
__________________ |
|
25.08.2008, 18:56
| #3 |
| | Google leitet mich ständig um @Chris4you,
__________________besten Dank für Deine Info. Habe mir schon selber geholfen. Habe mir das Prog. Malwarebytes Anti-Malware runtergeladen. Das Prog. hat einiges gefunden. Danach konnte ich auch wieder Spybot installieren. Jetzt funktioniert auch wieder Google richtig. Das System läuft wieder spitze. Anbei mal ein Log von dem Prog.: "Malwarebytes' Anti-Malware 1.25 Datenbank Version: 1087 Windows 5.1.2600 Service Pack 2 16:13:44 25.08.2008 mbam-log-08-25-2008 (16-13-44).txt Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|) Durchsuchte Objekte: 119806 Laufzeit: 39 minute(s), 55 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 3 Infizierte Verzeichnisse: 1 Infizierte Dateien: 15 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\oembios.exe -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\oembios.exe -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\oembios.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\WINDOWS\system32\sysproc64 (Trojan.Agent) -> Delete on reboot. Infizierte Dateien: D:\Programme\Adobe\Acrobat 8.0\Setup Files\{AC76BA86-1033-F400-7760-000000000003}\keygen.exe (Backdoor.Bot) -> Quarantined and deleted successfully. G:\Sicherung\ACDSee Photo Manager 10.0.219 German\keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully. G:\Sicherung\Adobe Acrobat 8 Pro\keygen.exe (Backdoor.Bot) -> Quarantined and deleted successfully. C:\WINDOWS\system32\sysproc64\002F3236.uf (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\sysproc64\sysproc32.sys (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\sysproc64\sysproc86.sys (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\oembios.exe (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot." Besten Dank für die Hilfe. Ich denke bei mir ist alles geklärt.  Xkwadrat |
|
25.08.2008, 19:20
| #4 |
| | Google leitet mich ständig um Hi, bitte noch combofix ausführen... Der Agent kann noch einiges nachgezogen haben, combofix macht auch einen Rootkitscann... Und, wer setzt auch KeyGens ?  chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
26.08.2008, 00:03
| #5 |
| | Google leitet mich ständig um @Chris4You, danke für Deine Hilfe, hier ist der Log von Combofix: "ComboFix 08-08-24.03 - admin 2008-08-25 21:39:40.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1469 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\admin\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_TDSSSERV -------\Service_tdssserv ((((((((((((((((((((((( Dateien erstellt von 2008-07-25 bis 2008-08-25 )))))))))))))))))))))))))))))) . 2008-08-25 15:32 . 2008-08-25 15:32 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-08-25 15:32 . 2008-08-25 15:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-08-25 15:32 . 2008-08-25 15:32 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Malwarebytes 2008-08-25 15:32 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-25 15:32 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-25 15:06 . 2008-08-25 15:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2008-08-25 15:06 . 2008-08-25 15:06 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\SUPERAntiSpyware.com 2008-08-25 14:32 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-08-25 14:32 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-08-25 14:32 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-08-25 14:32 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-08-25 14:32 . 2008-08-14 21:52 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe 2008-08-25 14:32 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe 2008-08-25 14:32 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-08-25 14:32 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-08-25 14:32 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-08-25 14:10 . 2008-08-25 14:10 <DIR> d-------- C:\Programme\Trend Micro 2008-08-25 13:16 . 2008-08-25 13:17 <DIR> d-------- C:\WINDOWS\BDOSCAN8 2008-08-25 10:30 . 2008-08-25 10:30 <DIR> d--hs---- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\sysproc64 2008-08-25 10:04 . 2008-08-25 10:04 <DIR> d--hs---- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\sysproc64 2008-08-24 17:16 . 2008-08-24 18:52 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\FileZilla 2008-08-24 16:49 . 2007-06-11 11:20 231,936 --a------ C:\WINDOWS\system32\FusionReg.dll 2008-08-17 19:53 . 2008-07-23 18:50 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe 2008-08-17 19:53 . 2008-07-23 18:50 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe 2008-08-17 19:52 . 2008-08-17 19:53 <DIR> d-------- C:\Programme\DivX 2008-08-15 14:17 . 2008-08-15 14:17 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\DonationCoder 2008-08-15 14:17 . 2008-08-15 14:17 58 --a------ C:\WINDOWS\system32\DonationCoder_ScreenshotCaptor_InstallInfo.dat 2008-08-12 10:58 . 2008-08-12 11:01 <DIR> d-------- C:\Programme\ICQ6 2008-08-12 10:58 . 2008-08-12 11:00 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\ICQ 2008-08-10 18:21 . 2008-08-10 18:21 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Morpheus Software 2008-07-25 10:36 . 2008-07-25 10:36 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe 2008-07-25 10:36 . 2008-07-25 10:36 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-25 17:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-08-25 14:26 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-08-24 14:49 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-08-19 18:21 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Canon 2008-08-12 18:33 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\PC Suite 2008-07-22 07:16 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\klickTel 2008-07-21 09:28 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\InstallShield 2008-07-10 20:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WWK 2008-07-10 20:03 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Tobit 2008-07-08 19:48 65,536 ----a-w C:\WINDOWS\IFinst27.exe 2008-06-29 13:06 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Vso 2008-06-29 11:30 81,920 ----a-w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\ezpinst.exe 2008-06-29 11:30 47,360 ----a-w C:\WINDOWS\system32\drivers\pcouffin.sys 2008-06-29 11:30 47,360 ----a-w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\pcouffin.sys 2008-06-29 11:30 --------- d-----w C:\Programme\vso 2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll 2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "Google Desktop"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2008-01-22 11:33 190464] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ALi5289"="C:\Programme\ULI5289\ALi5289.exe" [2005-03-10 15:56 405504] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 16:26 266497] "SoundMan"="SOUNDMAN.EXE" [2004-07-27 18:01 68096 C:\WINDOWS\SOUNDMAN.EXE] "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 00:58 110592 C:\WINDOWS\system32\bthprops.cpl] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360] "Nokia.PCSync"="D:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 11:17 1241088] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.I420"= i420vfw.dll "msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm "vidc.hfyu"= huffyuv.dll "msacm.divxa32"= DivXa32.acm "msacm.l3codec"= C:\WINDOWS\system32\l3codecp.acm [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 relog_ap [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= R0 m5289;m5289;C:\WINDOWS\system32\DRIVERS\m5289.sys [2004-12-01 11:49] R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-01-21 20:49] R0 uliagpkx;ULi AGP Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\agpkx.sys [2005-05-03 18:31] R2 TryAndDecideService;Acronis Try And Decide Service;C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe [2007-08-31 20:49] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58] R3 3xHybrid;Cinergy 400 TV service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-12-04 17:13] R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 21:36] S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys [] S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-08-17 15:01] S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2005-08-02 23:10] S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-01-22 11:56] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2008-08-22 C:\WINDOWS\Tasks\1-Klick-Wartung.job - D:\Programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 14:17] . . ------- Zus„tzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\502dsnfk.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://news.google.de/news?ned=de FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll FF -: plugin - D:\Programme\Adobe\Acrobat 8.0\Acrobat\browser\nppdf32.dll FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npdivx32.dll FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npDivxPlayerPlugin.dll FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npnul32.dll FF -: plugin - D:\Programme\QuickTime\Plugins\npqtplugin.dll FF -: plugin - D:\Programme\QuickTime\Plugins\npqtplugin2.dll FF -: plugin - D:\Programme\QuickTime\Plugins\npqtplugin3.dll FF -: plugin - D:\Programme\QuickTime\Plugins\npqtplugin4.dll FF -: plugin - D:\Programme\QuickTime\Plugins\npqtplugin5.dll FF -: plugin - D:\Programme\QuickTime\Plugins\npqtplugin6.dll FF -: plugin - D:\Programme\QuickTime\Plugins\npqtplugin7.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-25 21:44:48 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\WudfHost.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Cyberlink\Shared files\CLML_NTService\CLMLServer.exe C:\Programme\Cyberlink\Shared files\CLML_NTService\CLMLService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Cyberlink\Shared files\RichVideo.exe D:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\WINDOWS\system32\verclsid.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-08-25 21:47:29 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-08-25 19:47:24 Pre-Run: 8,720,334,848 Bytes frei Post-Run: 8,654,581,760 Bytes frei 173 --- E O F --- 2008-08-13 20:16:38" Wenn Du da noch was zu sagen kannst, wäre ich Dir sehr dankbar. In dem vorherigen Beitrag hast Du geschrieben: "Und, wer setzt auch KeyGens ?" Was bitte meinst Du damit? Wer sie nutzt, oder wie? Was heist "setzt"? Ja, ich habe schon mal ein Prog. genutzt für welches ich dieses benötigt habe. Sind die etwas so gefährlich? Und wenn, warum? Wie sieht ansonsten der Log aus? Danke im Voraus. Xkwadrat |
|
26.08.2008, 06:41
| #6 | |
| | Google leitet mich ständig um Hi, deswegen: D:\Programme\Adobe\Acrobat 8.0\Setup Files\{AC76BA86-1033-F400-7760-000000000003}\keygen.exe Das ist ein Backdoor, so mancher Virus/Trojaner wird vom User selber auf den Rechner geholt... Keygens, Spielecracks etc. werden normalerweise von Hackern verseucht, da dann auch erwartet wird, das der User nichts (rechtlich) unternimmt, da er ja selber was unerlaubtes getan hat... Also Finger weg und lieber kaufen... ;o) Prüfe diese Verzeichnisse, sie sollten versteckt sein, aber leer! C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\sysproc64 C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\sysproc64 (und sind wahrscheinlich die "Backupdaten" des Trojaners: C:\WINDOWS\system32\sysproc64\sysproc32.sys (Trojan.Agent)) Wenn leer, löschen lassen, wenn nicht Inhalte online prüfen lassen... Bitte folgende Files prüfen: Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Poste bitte das Ergebniss mit Filename, falls ein File nicht erkannt wurde, aus dem Script (s. unten) rausnehmen! Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Files to delete:
C:\WINDOWS\IFinst27.exe
C:\WINDOWS\system32\Smab0.dll
Folders to delete:
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\sysproc64
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\sysproc64
4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. chris
__________________ --> Google leitet mich ständig um |
|
26.08.2008, 09:57
| #7 |
| | Google leitet mich ständig um Hi, o.k. habe ich soweit verstanden mit den keygen. Werde wohl demnächst etwas mehr Geld für sinnvolle Dinge ausgeben ;-) Leider kann ich Deinen weiteren Anweisungen nicht so ganz folgen bzw. verstehe sie nicht. Ich habe auf der Seite http://www.virustotal.com/flash/index_en.html alle vier Dateien geprüft. 1. C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\sysproc 64 2. C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\syspr oc64 3. C:\WINDOWS\IFinst27.exe 4. C:\WINDOWS\system32\Smab0.dll Bei den ersten beiden Dateien wurde auf der Seite online nichts gefunden. Bei den beiden letzten Dateien, wurden jeweils ein bzw. zwei Hinweise angezeigt. Dann verstehe ich aber nicht, was ich mit dem Ergebniss machen soll: Zitat: dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Poste bitte das Ergebniss mit Filename, falls ein File nicht erkannt wurde, aus dem Script (s. unten) rausnehmen! Hier mal ein Beispiel was am Ende unten auf der Seite angezeigt wird: "MD5: 2cdfdd3019e885d32c0d7c47ec33f8b3 SHA1: fa2c7ec1478056ba921c10b433359ef302b3eddd SHA256: d4ceed9eeecab9ec14b0bbe3bff53285719295d2c6ba235496c7526890b0a6d2 SHA512: 5f4c9b451d8f2329465e61bbdb9b51fa7ac7207174595cbd16af6709cd36ea9265270b58249b1cf1060c70c04ac8fb534580fbb28e5a38a61d0e3402e73dce5a" Wie meinst Du das mit "nicht erkannt" wird. Bei zwei Dateien wird nichts gefunden, aber erkannt hat er es wohl. Das Prog. Avenger habe ich runtergeladen. Soll ich das jetzt noch nutzen? Und wenn ja wie? Wäre super, wenn Du es mir nochmal etwas anders erklären könntest. Besten Dank für die Hilfe Xkwadrat |
|
26.08.2008, 10:22
| #8 |
| | Google leitet mich ständig um Hi, nur das gesamte Ergebnis für die Files abkopieren: C:\WINDOWS\IFinst27.exe C:\WINDOWS\system32\Smab0.dll Wenn scih allerdings nur 1 bis zwei Scanner melden, dann kann das auch ein Fehlalarm sein... Ich habe nicht finden können ob beide Dateien irgendwo gestartet werden, Du kannst das Script mal ausführen, falls dann etwas nichtmehr gehen sollte, fahren wir die Änderungen zurück (Avenger legt Backups an)... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
26.08.2008, 10:40
| #9 |
| | Google leitet mich ständig um Hi, hier jetzt mal die Angaben die mir die Seite ausspuckt zu der Datei: C:\WINDOWS\system32\Smab0.dll "eSafe - - Suspicious File" "Webwasher-Gateway - - Win32.Malware.gen!88 (suspicious)" und weiter unten steht: "weitere Informationen File size: 27648 bytes MD5...: 2cdfdd3019e885d32c0d7c47ec33f8b3 SHA1..: fa2c7ec1478056ba921c10b433359ef302b3eddd SHA256: d4ceed9eeecab9ec14b0bbe3bff53285719295d2c6ba235496c7526890b0a6d2 SHA512: 5f4c9b451d8f2329465e61bbdb9b51fa7ac7207174595cbd16af6709cd36ea92 65270b58249b1cf1060c70c04ac8fb534580fbb28e5a38a61d0e3402e73dce5a PEiD..: PECompact 2.xx --> BitSum Technologies PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10001000 timedatestamp.....: 0x46495058 (Tue May 15 06:16:56 2007) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x14000 0x4800 7.98 1ff33590ef20d67a1b10a5ce2fc53d96 .rsrc 0x15000 0x2000 0x2000 6.70 341f7944f03a8a170e0549e0cf9e9f9e .reloc 0x17000 0x200 0x200 0.21 8f5b39eaff78f4364554d021fa93976c ( 3 imports ) > kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree > msvcrt.dll: __dllonexit > WSOCK32.DLL: WSAGetLastError ( 115 exports ) pthreadCancelableTimedWait, pthreadCancelableWait, pthread_attr_destroy, pthread_attr_getdetachstate, pthread_attr_getinheritsched, pthread_attr_getschedparam, pthread_attr_getschedpolicy, pthread_attr_getscope, pthread_attr_getstackaddr, pthread_attr_getstacksize, pthread_attr_init, pthread_attr_setdetachstate, pthread_attr_setinheritsched, pthread_attr_setschedparam, pthread_attr_setschedpolicy, pthread_attr_setscope, pthread_attr_setstackaddr, pthread_attr_setstacksize, pthread_barrier_destroy, pthread_barrier_init, pthread_barrier_wait, pthread_barrierattr_destroy, pthread_barrierattr_getpshared, pthread_barrierattr_init, pthread_barrierattr_setpshared, pthread_cancel, pthread_cond_broadcast, pthread_cond_destroy, pthread_cond_init, pthread_cond_signal, pthread_cond_timedwait, pthread_cond_wait, pthread_condattr_destroy, pthread_condattr_getpshared, pthread_condattr_init, pthread_condattr_setpshared, pthread_create, pthread_delay_np, pthread_detach, pthread_equal, pthread_exit, pthread_getconcurrency, pthread_getschedparam, pthread_getspecific, pthread_getw32threadhandle_np, pthread_join, pthread_key_create, pthread_key_delete, pthread_kill, pthread_mutex_destroy, pthread_mutex_init, pthread_mutex_lock, pthread_mutex_timedlock, pthread_mutex_trylock, pthread_mutex_unlock, pthread_mutexattr_destroy, pthread_mutexattr_getkind_np, pthread_mutexattr_getpshared, pthread_mutexattr_gettype, pthread_mutexattr_init, pthread_mutexattr_setkind_np, pthread_mutexattr_setpshared, pthread_mutexattr_settype, pthread_num_processors_np, pthread_once, pthread_rwlock_destroy, pthread_rwlock_init, pthread_rwlock_rdlock, pthread_rwlock_timedrdlock, pthread_rwlock_timedwrlock, pthread_rwlock_tryrdlock, pthread_rwlock_trywrlock, pthread_rwlock_unlock, pthread_rwlock_wrlock, pthread_rwlockattr_destroy, pthread_rwlockattr_getpshared, pthread_rwlockattr_init, pthread_rwlockattr_setpshared, pthread_self, pthread_setcancelstate, pthread_setcanceltype, pthread_setconcurrency, pthread_setschedparam, pthread_setspecific, pthread_spin_destroy, pthread_spin_init, pthread_spin_lock, pthread_spin_trylock, pthread_spin_unlock, pthread_testcancel, pthread_timechange_handler_np, pthread_win32_process_attach_np, pthread_win32_process_detach_np, pthread_win32_test_features_np, pthread_win32_thread_attach_np, pthread_win32_thread_detach_np, ptw32_get_exception_services_code, ptw32_pop_cleanup, ptw32_push_cleanup, sched_get_priority_max, sched_get_priority_min, sched_getscheduler, sched_setscheduler, sched_yield, sem_close, sem_destroy, sem_getvalue, sem_init, sem_open, sem_post, sem_post_multiple, sem_timedwait, sem_trywait, sem_unlink, sem_wait packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact packers (F-Prot): PecBundle, PECompact" Bei der Datei: "C:\WINDOWS\IFinst27.exe" erschteint folgendes: "eSafe 7.0.17.0 2008.08.24 Suspicious File" und etwas weiter unten: "weitere Informationen File size: 65536 bytes MD5...: 9c17bca3ef837bacded7e4299508e71d SHA1..: 253c7e956ad6cb66e0e47e5d9a6a19d78e9c96e0 SHA256: 2405e5479aeb7d43d1362969b9c439e5931b8f900f9adfe0faaa986365415193 SHA512: 12c1c5dbdf763d6d361b9d412794b0d85b6134843114120b843f30db198a3a21 1e2c06eadd3ed25271b4cd06a7367df7dafc6b9b33b1bce479f3ad050caeb625 PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x429940 timedatestamp.....: 0x3a2e957d (Wed Dec 06 19:37:33 2000) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x1a000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x1b000 0xf000 0xec00 7.91 6651d2390d2f4d60a07cea9b1bf3450e .rsrc 0x2a000 0x1000 0x1000 3.39 79f1a804b29384e18fb2b8c70a0e867d ( 8 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess > ADVAPI32.dll: RegCloseKey > GDI32.dll: BitBlt > ole32.dll: CoInitialize > OLEAUT32.dll: - > SHELL32.dll: ShellExecuteA > USER32.dll: GetDC > VERSION.dll: VerQueryValueA ( 0 exports ) ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=9c17bca3ef837bacded7e4299508e71d packers (Kaspersky): UPX packers (F-Prot): UPX" Soweit: Leider weiss ich jetzt beim besten Willen nicht, was ich mit der Info machen soll. Ich verstehe nicht welche Info ich in das Prog. Avenger eintragen soll oder wie ich das Script ausführen soll. Oder brauche ich jetzt nichts mehr zu machen, wenn nur so wenig gefunden wird, da es sich wohl um einen Fehlalarm handelt. Ansonsten schreibe mir bitte etwas genauer was ich wie machen soll. Danke Xkwadrat |
|
26.08.2008, 15:41
| #10 |
| | Google leitet mich ständig um Hi, bename die beiden Files wie folgt um: C:\WINDOWS\IFinst27.exe -> C:\WINDOWS\IFinst27.exe.vir C:\WINDOWS\system32\Smab0.dll ->C:\WINDOWS\system32\Smab0.dll.vir Keinesfalls Doppelklicken, da sie sonst ausgeführt werden. Nur die Umbenennung können sie nicht mehr ausgeführt werden... Falls die Verzeichnisse 1. C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\sysproc64 2. C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\sysproc64 leer sind, kannst Du beide löschen, ansonsten teile mit den Inhalt (Filenamen) mit... Da alle vier unsichtbar sind, musst die Dateianzeige im Explorer richtig einstellen: Explorer->Extras->Ansicht, dort dann kein Haken bei: - Geschützte Systemdateien ausblenden - Erweiterung bei bekannten Dateitypen ausblenden Auswahl: Versteckte Dateien und Ordner anzeigen chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
26.08.2008, 20:44
| #11 |
| | Google leitet mich ständig um Hi, in dem einem Ordner befindet sich eine Datei. 1. C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\sysproc 64 Die Datei, die hin drin ist, nennt sich "sysproc32.sys" 2. C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\sysproc64 Hier befindet sich die Datei : "sysproc32.sys" ebenfalls drin. Die anderen beiden Ordner habe ich einfach umbenannt. Besten Dank Xkwadrat |
|
27.08.2008, 06:33
| #12 |
| | Google leitet mich ständig um Hi, das sind tatsächlich Backup's des Trojaner, daher ebenfalls löschen, am besten beide Verzeichnisse... ->http://www.sophos.com/security/analyses/viruses-and-spyware/trojagenthmp.html chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
27.08.2008, 12:26
| #13 |
| | Google leitet mich ständig um @Chris4You, alles klar. Habe ich getan. Besten Dank für Deine Hilfe. Ich muss schon sagen, dass die Hilfe hier im Board super geil ist. Kann ich nur empfehlen. Also, weiter so....  |
|
| Themen zu Google leitet mich ständig um |
| adobe, avira, bho, desktop, dll, excel, explorer, google, helfen, hijack, hijackthis, hkus\s-1-5-18, icq, internet, internet explorer, konvertieren, leitet, microsoft, mozilla, mozilla firefox, neu, pdf, pdf-datei, programme, rundll, scan, software, solution, super, system, tuneup.defrag, userinit.exe, windows, windows xp |
Linear-Darstellung
