![]() |
|
Log-Analyse und Auswertung: permanente windows-warnhinweise und avira-virenmeldungenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() |
|
![]() | #1 |
| ![]() permanente windows-warnhinweise und avira-virenmeldungen ein herzliches hallo an die helfer/innen, dies ist mein erstes mal (hier) - ich hoffe ihr seid gut zu mir ![]() seit drei tagen habe ich probleme. ich versuchs kurz und trotzdem klar zu machen: nach dem hochfahren habe ich mittlerweile dauerhaft eine warngrafik im auf dem desktop (windows warning message mit den bereits hier behandelten spywares: win32/adware.virtumonde und win32/ privacyremoverM64). mein eigentliches desktop-hintergrundbild ist verschwunden (weisser screen). avira bringt zu beginn immer virenmeldunge mit unterschiedlichen dateiangaben. später dann im intervall von etwa 10 minuten hinweise auf erkannte trojaner (z.b. TR/unpacked.gen) u.a.. ich wähle abwechselnd löschen, zugriff verweigern und in quarantäne veschieben: ohne erfolg. im weiteren verlauf meldet sich windows mit einem -security alert- (z.b. trojan-clicker.win32.tiny.h). bisherige maßnahmen: 1. hoffen und bangen 2. prüfungen mit avira premium, malwarebytes, spybot. die datei svchost.exe wollte ich schonmal bei virustotal scannen, da ich einen ähnlichen fall hier las, aber ich finde die datei nicht (obwohl in meiner systemsteuerung/ordneroptionen dbzgl alles korrekt aktiviert ist). hier jetzt mein logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:42:13, on 28.08.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\Avira Premium Security Suite\sched.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\Avira Premium Security Suite\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Suitcase_extensis\Bonjour\mDNSResponder.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PSIService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe C:\Programme\verify-U_AVS\[verify-U]-Service.exe C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ovsbstgn\gjkjcvcl.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\WINDOWS\system32\lphc5djj0evcv.exe C:\Programme\Picasa2\PicasaMediaDetector.exe C:\WINDOWS\system32\yfitingp.exe C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe C:\Programme\Hardcopy\hardcopy.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Suitcase_extensis\Suitcase.exe C:\Programme\verify-U_AVS\[verify-U]-Software.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.****.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - Default URLSearchHook is missing O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [AVMFBoxMonitor] "C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" /min O4 - HKLM\..\Run: [lphc5djj0evcv] C:\WINDOWS\system32\lphc5djj0evcv.exe O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKCU\..\Run: [sysui] C:\WINDOWS\system32\yfitingp.exe O4 - HKCU\..\Run: [wininfo] C:\WINDOWS\system32\clqfyxqn.exe O4 - HKCU\..\Run: [dbutilstr] C:\WINDOWS\system32\unehixkj.exe O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\ApcMain.exe -m O4 - HKCU\..\Run: [ComAplCmd] C:\WINDOWS\system32\xabmtadc.exe O4 - HKLM\..\Policies\Explorer\Run: [x6qzreL6E9] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ovsbstgn\gjkjcvcl.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O4 - Global Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Suitcase 11.0.lnk = ? O4 - Global Startup: [verify-U]-Software.lnk = C:\Programme\verify-U_AVS\[verify-U]-Software.exe O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.maxdome.de O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - http://service.maxdome.de/de/systemcheck/HWTest.CAB O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198710358656 O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab O21 - SSODL: infoactproc - {68F1E78F-722E-9193-1783-03C78BF918B6} - C:\Programme\qlbwxcd\infoactproc.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\sched.exe O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avguard.exe O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Suitcase_extensis\Bonjour\mDNSResponder.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe O23 - Service: [verify-U]-Service ([verify-U]) - Cybits Systems Security GmbH - C:\Programme\verify-U_AVS\[verify-U]-Service.exe -- End of file - 14314 bytes ich danke jedenfalls schonmal ganz arg in der hoffnung auf nicht allzu großen schaden... |
![]() | #2 | |
![]() ![]() ![]() ![]() ![]() | ![]() permanente windows-warnhinweise und avira-virenmeldungen Hi,
__________________MAM runterladen&installieren&updaten, dann Combofix downloaden, Anleitung ausdrucken. Malwarebytes Antimalware (MAM). Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/. Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Erst später hier weitermachen: Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Bitte folgende Files prüfen: Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Poste die Ergebnisse mit Filename! Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: ![]() 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Registry values to delete: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|lphc5djj0evcv Files to delete: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ovsbstgn\gjkjcvcl.exe C:\WINDOWS\system32\xabmtadc.exe C:\WINDOWS\system32\lphc5djj0evcv.exe C:\WINDOWS\system32\yfitingp.exe C:\WINDOWS\system32\clqfyxqn.exe 3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O4 - HKLM\..\Policies\Explorer\Run: [x6qzreL6E9] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ovsbstgn\gjkjcvcl.exe O4 - HKCU\..\Run: [ComAplCmd] C:\WINDOWS\system32\xabmtadc.exe O4 - HKCU\..\Run: [dbutilstr] C:\WINDOWS\system32\unehixkj.exe O4 - HKCU\..\Run: [wininfo] C:\WINDOWS\system32\clqfyxqn.exe O4 - HKCU\..\Run: [sysui] C:\WINDOWS\system32\yfitingp.exe O4 - HKLM\..\Run: [lphc5djj0evcv] C:\WINDOWS\system32\lphc5djj0evcv.exe Chris
__________________ |
![]() | #3 |
| ![]() permanente windows-warnhinweise und avira-virenmeldungen 1000 thanks erstmal @chris!
__________________bin eben erst von der arbeit zurück gekommen. werde alles der reihe nach abarbeiten - das wird etwas dauern. melde mich heute abend/nacht noch mit dem ergebnis. ![]() |
![]() | #4 |
| ![]() permanente windows-warnhinweise und avira-virenmeldungen here we go: der reihe nach, was geschah, bzw. nicht geschah... 1. MAM aktualisiert, noch kein scan durchgeführt. 2. download combofix - leider war das abspeichern auf desktop nicht möglich und das programm "rannte gleich durch". autom. neustart. schreiben von logdatei. in dem zusammenhang meldet sich avira: habe dann die datei catchme.tmp zugelassen, da ich dachte die gehört zu combofix. 3. avenger ausgeführt - dateien wurden gelöscht. nach dem neustart zeigt windows fehlerfenster: exception processing message c0000013 parameters usf..... avira meldet sich wieder mit versuchten verbindungsaufbauten, z.b unehixkj.exe und jizsvqtk.exe; dieses mal verweigert. 4. über HijackThis konnte ich die letzte angegebene zeile nicht mehr finden (O4 - HKLM\..\Run: [lphc5djj0evcv] C:\WINDOWS\system32\lphc5djj0evcv.exe). alle anderen wurden gefixt. 5. virus total: die erste zeile hatte ein ergebnis; die zweite keinen fund. alle anderen (zeile 3 bis 7) nicht mehr gefunden (vermutlich bereits gelöscht). hier der text zur ersten zeile (C:\Programme\qlbwxcd\infoactproc.dll) Sophos 4.33.0 2008.08.28 Mal/EncPk-DG File size: 110592 bytes MD5...: cfecec1853bc1e952be70ca3a74498af SHA1..: b33ae40cf006e7849ffd8acd1d18274c04431fd4 SHA256: bafa44ca7f6d12c33be9b5258449baf944a36f5288f6caa2aefd07cce54169d5 SHA512: ebe3cf69e32460b00367aa6a7cd6679ebb2c3a869656d13435f879ba6a605df7 7ffa02521c235f4a40dd21cc7bc1a0f33fede20becc48a98cc1bf4f47b1fdbe1 PEiD..: - TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10015779 timedatestamp.....: 0x48b1157b (Sun Aug 24 08:02:03 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .iweg 0x1000 0x15744 0x16000 6.74 b52657d669f78225fc1ac1157967d946 .nnyvo 0x17000 0x6d1 0x1000 2.77 5091037c63ccd7e05b3e67f05fe6fafe .biire 0x18000 0x1f48 0x1000 0.66 3f710d0a0cf3e4d373ebef54498af79f .reloc 0x1a000 0x1942 0x2000 6.00 db73322e7394f5dcc7757b85256cfd22 ( 4 imports ) > KERNEL32.dll: lstrcpyW, LoadLibraryA, WriteFile, GlobalAddAtomW, GlobalLock, GetProcAddress, CreateEventW, LockResource, lstrlenW, GetSystemTime, SetCurrentDirectoryW, FindNextFileW, GetCurrentProcess, SetThreadPriority, SetLastError, GetFileSize, CancelWaitableTimer, FileTimeToSystemTime, GetTickCount, GetVersion, CreateProcessW, FreeLibrary, MultiByteToWideChar, DuplicateHandle, FindNextChangeNotification, GetModuleFileNameW, WritePrivateProfileStringW > USER32.dll: DispatchMessageW, OffsetRect, RegisterHotKey, IsWindow, SetCursor, FillRect, GetDlgItem, LoadBitmapW, SendDlgItemMessageW, GetWindowRect, MessageBoxW, SetForegroundWindow, SetWindowPos, SystemParametersInfoW, GetParent, RegisterClassExW > GDI32.dll: SetTextColor, SetMapMode, SetDIBits, DPtoLP, GetMapMode, CreateICW, CreateSolidBrush, GetStockObject, GetDeviceCaps > ADVAPI32.dll: RegCloseKey, RegNotifyChangeKeyValue, LookupPrivilegeValueW ( 4 exports ) DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer 6. nach dem neustart waren jetzt zum ersten mal die windows- und avira -fehlermeldungen verschwunden. 7. MAM-quick-scan durchgeführt - 9 dateien gefunden und gelöscht. ebenso die noch in quarantäne befindlichen. den vollständigen scan musste ich nach knapp einer stunde (ca. 30.000 dateien) abbrechen, da ich ca. 15.000 schriftdateien habe, für eine schrift wird tendentiell ca. 1 sekunde benötigt! 8. nochmal combofix durchgeführt; hier das logfile dazu: ComboFix 08-08-28.02 - paxx 2008-08-28 23:13:35.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1454 [GMT 2:00] ausgeführt von:: C:\downloads\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2008-07-28 bis 2008-08-28 )))))))))))))))))))))))))))))) . 2008-08-28 20:50 . 2008-08-28 20:50 102,400 --a------ C:\WINDOWS\system32\jizsvqtk.exe 2008-08-28 20:35 . 2008-08-28 20:35 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-08-28 20:35 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-28 20:35 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-28 01:09 . 2008-08-28 01:09 7,680 --ahs---- C:\WINDOWS\Thumbs.db 2008-08-27 23:24 . 2008-08-27 23:24 203,776 --a------ C:\WINDOWS\system32\bmtgfafq.exe 2008-08-27 22:57 . 2008-08-27 23:03 <DIR> d-------- C:\Programme\Ascentive 2008-08-27 22:57 . 2008-05-05 14:08 208,896 --a------ C:\WINDOWS\system32\ConTest.dll 2008-08-27 22:57 . 2007-10-17 10:19 20,480 --a------ C:\WINDOWS\system32\SysRestore.dll 2008-08-27 22:43 . 2008-08-27 22:55 <DIR> d-------- C:\Programme\Spybot - Search & Destroy 2008-08-27 22:16 . 2008-08-27 22:23 <DIR> d-------- C:\Programme\PC Security Test 2008 2008-08-27 21:40 . 2008-08-27 21:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles 2008-08-26 07:58 . 2008-08-26 07:58 94,208 --a------ C:\WINDOWS\system32\unehixkj.exe 2008-08-25 23:21 . 2008-08-25 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\paxx\Anwendungsdaten\Malwarebytes 2008-08-25 23:21 . 2008-08-25 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-08-25 23:15 . 2008-08-25 23:15 <DIR> d-------- C:\Programme\Trend Micro 2008-08-25 22:10 . 2008-08-25 22:10 <DIR> d-------- C:\Programme\Typograph 2008-08-24 14:38 . 2008-08-28 20:53 <DIR> d-------- C:\Dokumente und Einstellungen\paxx\Anwendungsdaten\Extensis 2008-08-24 14:38 . 2008-08-28 20:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Extensis 2008-08-24 14:34 . 2008-08-24 14:34 <DIR> d-------- C:\Programme\Suitcase_extensis 2008-08-24 11:04 . 2008-08-24 11:04 <DIR> d-------- C:\Programme\qlbwxcd 2008-08-24 11:04 . 2008-08-28 21:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ovsbstgn 2008-08-19 01:02 . 2008-08-19 01:02 <DIR> d-------- C:\WINDOWS\system32\de 2008-08-19 01:02 . 2008-08-19 01:02 <DIR> d-------- C:\WINDOWS\system32\bits 2008-08-19 01:02 . 2008-08-19 01:02 <DIR> d-------- C:\WINDOWS\l2schemas 2008-08-18 22:41 . 2008-04-14 04:22 1,306,624 -----c--- C:\WINDOWS\system32\dllcache\msxml6.dll 2008-08-15 17:36 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll 2008-08-15 17:36 . 2008-05-01 16:34 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-27 21:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-08-27 20:57 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-08-27 19:50 --------- d-----w C:\Programme\Wise Registry Cleaner 2008-08-25 22:17 --------- d-----w C:\Programme\FRITZ!Box 2008-08-12 19:20 --------- d-----w C:\Programme\No23 Recorder 2008-08-01 18:34 --------- d-----w C:\Programme\Hardcopy 2008-07-29 19:21 --------- d-----w C:\Programme\Java 2008-07-18 18:54 --------- d-----w C:\Programme\FreePDF_XP 2008-07-13 12:01 --------- d-----w C:\Dokumente und Einstellungen\paxx\Anwendungsdaten\U3 2008-07-02 20:42 --------- d-----w C:\Programme\Gemeinsame Dateien\EPSON 2008-07-02 20:41 --------- d-----w C:\Programme\EPSON 2008-03-30 14:42 133,912 ----a-w C:\Dokumente und Einstellungen\paxx\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2007-11-25 21:53 14 ----a-w C:\Dokumente und Einstellungen\paxx\getfile.dat 2007-11-25 15:35 96,374 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat 2003-12-07 22:39 62,419,889 ----a-w C:\Programme\Macromedia.Dreamweaver.MX.v6.0.GERMAN.WiN32-oDDiTy.rar 2007-12-25 15:50 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( snapshot@2008-08-28_20.52.26.53 ))))))))))))))))))))))))))))))))))))))))) . - 2008-08-28 18:46:44 793,920 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT + 2008-08-28 21:17:21 793,920 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2008-02-26 03:23 443968] "Performance Center"="C:\Programme\Ascentive\Performance Center\ApcMain.exe" [2008-03-13 17:35 3239936] "AdmSetApi"="C:\WINDOWS\system32\jizsvqtk.exe" [2008-08-28 20:50 102400] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776] "JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 16:36 36864] "36X Raid Configurer"="C:\WINDOWS\system32\xRaidSetup.exe" [2007-03-21 18:23 1953792] "Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 02:08 483328] "FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 21:27 312320] "AVMFBoxMonitor"="C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe" [2007-05-08 03:00 1482752] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-12-11 11:56 286720] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-12-11 13:10 267048] "OSSelectorReinstall"="C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe" [2007-03-09 17:29 2224104] "TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-08-31 19:35 2622232] "AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-08-31 19:43 907040] "Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-08-31 19:38 140568] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136] "avgnt"="C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" [2008-07-17 21:43 266497] "nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe] "RTHDCPL"="RTHDCPL.EXE" [2007-03-21 16:49 16126464 C:\WINDOWS\RTHDCPL.exe] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 04:10 55824 C:\WINDOWS\KHALMNPR.Exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoSimpleStartMenu"= 0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSimpleStartMenu"= 0 (0x0) "NoInstrumentation"= 0 (0x0) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "infoactproc"= {68F1E78F-722E-9193-1783-03C78BF918B6} - C:\Programme\qlbwxcd\infoactproc.dll [2008-08-24 11:04 110592] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn] 2007-11-15 11:10 72208 c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 relog_ap [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "C:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\Suitcase_extensis\\Bonjour\\mDNSResponder.exe"= R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-01-22 23:50] R1 avfwot;avfwot;C:\WINDOWS\system32\DRIVERS\avfwot.sys [2008-05-10 00:03] R2 AntiVirFirewallService;Avira Premium Security Suite Firewall;C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe [2008-07-17 21:43] R2 AntiVirMailService;Avira Premium Security Suite MailGuard;C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe [2008-07-17 21:43] R2 antivirwebservice;Avira Premium Security Suite WebGuard;C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE [2008-07-17 21:43] R2 AVEService;Avira Premium Security Suite MailGuard Hilfsdienst;C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe [2008-07-17 21:43] R2 TryAndDecideService;Acronis Try And Decide Service;C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe [2007-08-31 20:49] R3 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\system32\drivers\asusgsb.sys [2007-07-12 11:03] R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys [2007-03-15 16:12] R3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys [2008-05-10 00:03] R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [2007-07-12 11:03] S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-08-17 15:01] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] "C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe" . Inhalt des "geplante Tasks" Ordners 2008-04-08 C:\WINDOWS\Tasks\HP DArC Task #Hewlett-Packard#hp psc 2400 series#1207679524.job - C:\Programme\HP\hpcoretech\comp\hpdarc.exe [] 2008-04-13 C:\WINDOWS\Tasks\HP DArC Task #Hewlett-Packard#hp psc 2400 series#1208093426.job - C:\Programme\HP\hpcoretech\comp\hpdarc.exe [] . . ------- Zus„tzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\paxx\Anwendungsdaten\Mozilla\Firefox\Profiles\f0fyal0g.default\ . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-28 23:18:40 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** "ImagePath"="\"C:\Programme\verify-U_AVS\ [verify-U]-Service.exe\"" "ImagePath"="system32\drivers\ [verify-U]-driver.sys" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\[verify-U]] "ImagePath"="\"C:\Programme\verify-U_AVS\ [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\[verify-U]_System] "ImagePath"="system32\drivers\ . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\Programme\Avira\Avira Premium Security Suite\sched.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\Avira Premium Security Suite\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Suitcase_extensis\Bonjour\mDNSResponder.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PSIService.exe C:\Programme\verify-U_AVS\[verify-U]-Service.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe C:\Programme\Hardcopy\hardcopy.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Suitcase_extensis\Suitcase.exe C:\Programme\verify-U_AVS\[verify-U]-Software.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe C:\Programme\iPod\bin\iPodService.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-08-28 23:23:40 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-08-28 21:23:23 ComboFix2.txt 2008-08-28 18:52:58 Pre-Run: 16 Verzeichnis(se), 142,691,377,152 Bytes frei Post-Run: 18 Verzeichnis(se), 142,678,077,440 Bytes frei 191 --- E O F --- 2008-08-19 21:52:56 9. last not least kommt der aktuelle hijackthis! mit dem nächsten eintrag PUHHHHHHHHHHHHHH STATUS QUO - "nur" noch windows-warnhinweise (security-alerts: trojan-spy...) - das "eingebrannte" warnfenster auf meinem desktop ist weg. avira meldet keine viren mehr. - mein desktophintergrund ist blau. - ich bin etwas erleichert, aber wahrscheinlich ist noch was zu tun... |
![]() | #5 |
| ![]() permanente windows-warnhinweise und avira-virenmeldungen ...und hier wie angekündigt das aktuelle logfile (hijack): Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:30:19, on 28.08.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\Avira Premium Security Suite\sched.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Avira\Avira Premium Security Suite\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Suitcase_extensis\Bonjour\mDNSResponder.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PSIService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe C:\Programme\verify-U_AVS\[verify-U]-Service.exe C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Picasa2\PicasaMediaDetector.exe C:\WINDOWS\system32\jizsvqtk.exe C:\Programme\Hardcopy\hardcopy.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Suitcase_extensis\Suitcase.exe C:\Programme\verify-U_AVS\[verify-U]-Software.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\explorer.exe C:\Programme\Avant Browser\avant.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.horn-gmbh.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [AVMFBoxMonitor] "C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" /min O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\ApcMain.exe -m O4 - HKCU\..\Run: [AdmSetApi] C:\WINDOWS\system32\jizsvqtk.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O4 - Global Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Suitcase 11.0.lnk = ? O4 - Global Startup: [verify-U]-Software.lnk = C:\Programme\verify-U_AVS\[verify-U]-Software.exe O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.maxdome.de O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - http://service.maxdome.de/de/systemcheck/HWTest.CAB O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198710358656 O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab O21 - SSODL: infoactproc - {68F1E78F-722E-9193-1783-03C78BF918B6} - C:\Programme\qlbwxcd\infoactproc.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\sched.exe O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avguard.exe O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Suitcase_extensis\Bonjour\mDNSResponder.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe O23 - Service: [verify-U]-Service ([verify-U]) - Cybits Systems Security GmbH - C:\Programme\verify-U_AVS\[verify-U]-Service.exe -- End of file - 13378 bytes 1.000 dank so far! :aplaus: es sieht im allgemeinen (als laie empfunden) schon viel besser aus, ist aber wohl noch was zu tun... ich bin guter dinge, dass das wird. in gespannter erwartung auf den sieg über die biester verbleibe ich: paxxtrax ![]() |
![]() | #6 | |
![]() ![]() ![]() ![]() ![]() | ![]() permanente windows-warnhinweise und avira-virenmeldungen Hi, falls sich in der Zwischenzeit nichts neues eingeschlichen hat (die letzte "Neuerung" ist vom 2008-08-28 20:50!), ist folgendes noch zu prüfen und wahrscheinlich zu eliminieren: Bitte folgende Files prüfen: Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Die mit * gekennzeichneten habe ich unten aus dem Script mal rausgelassen, falls z.B. die infoactproc.dll erkannt wird, unten bei Files to delete mit Pfad mit aufnehmen.... Poste ansonsten das Ergbeniss mit Filename, damit ich weis mit was wir es zu tun haben (hab da zwar so eine Ahnung...) Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: ![]() 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Files to delete: C:\WINDOWS\system32\bmtgfafq.exe C:\WINDOWS\system32\unehixkj.exe C:\WINDOWS\system32\jizsvqtk.exe 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O4 - HKCU\..\Run: [AdmSetApi] C:\WINDOWS\system32\jizsvqtk.exe Chris
__________________ --> permanente windows-warnhinweise und avira-virenmeldungen |
![]() |
Themen zu permanente windows-warnhinweise und avira-virenmeldungen |
adobe, avgnt, avgnt.exe, bho, bonjour, computer, ctfmon.exe, desktop, disk director, drivers, dsl, einstellungen, excel, explorer, firewall, google, gservice, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, konvertieren, launch, logfile, maßnahme, monitor, pdf-datei, performance, picasa, rundll, scan, security suite, svchost.exe, trojaner, urlsearchhook, virus, windows, windows xp, windows xp sp3, xp sp3 |