Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Laptop durch VIren/Trojanern verseucht . Brauche Hilfe!

Laptop durch VIren/Trojanern verseucht . Brauche Hilfe!


Log-Analyse und Auswertung: Laptop durch VIren/Trojanern verseucht . Brauche Hilfe!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 29.08.2008, 00:12   #1
Savoir
 
Laptop durch VIren/Trojanern verseucht . Brauche Hilfe! - Standard

Laptop durch VIren/Trojanern verseucht . Brauche Hilfe!


Hallo

Habe mich schon versucht darüber hier was zu finden über die trojanern aber vergeblich hoffe ihr könnt mir bitte helfen

Vorgeschichte:
durch irgendeine internet seite habe ich mir was eingefangen
was immer internetseiten geöffnet hat Achtung ihr rechner ist infiziert mit 5342 viren, ich sollte deren virusprogramm runterladen um die viren zu entfernen was ich nicht gemacht habe
bis dann meine freundin kam um mir zu helfen hat sie dann so ein programm instaliert während ich geschlafen habe und machte danach den rechner aus
als ich wieder kam und ihn anmachte gleich nach dem hochfahren lief dieses programm was sie instaliert hatte und scannte und ich habe es schnell unterbrochen und der scanner war schon bei ca "700" gewesen
desweiteren konnte ich das programm nicht deinstallieren es weigerte sich mit einer windows fehler meldung wo ich auf nicht seden drückte

ich komm nicht mehr auf den taskmanager drauf den versperrt er mir durch graue schriftart was ich nicht anklicken kann

die systemwiederherstellungspunkte wurden alle gelöscht

Das instaliere programm von meiner freundin hieß Antivirus XP 2008

Problem versucht zu verarbeiten:
Ich habe mein antivir upgedatet bin in abgesicherten modus und habe ihn erstmal laufen lassen er hat einiges gefunden 3 viren und 18 warnungen
habe die 3 in Quarantäne kopiert und anschliesend gelöscht
dachte das problem sei behoben fehlanzeige der Antivirus XP 2008 scannte wieder bis auf "400" viren bis ich ihn stoppen konnte
dann das gleiche nochmal abgesicherte modus antivir laufen lassen wieder 3 v und 18 warnungen und dann habe ich mit Tune up das instalierte programm gelöscht was funktionierte was dann nach einem neustart nicht mehr scannte aber die probleme sind immer noch da

jetzt öfnet sich ab und zu ein angepliches sicherheitsfenster von XP was auch echt aussieht allerdings auf englisch obwohl die spracheinstellung auf deutsch ist das echte von kp jetzt

das angebliche fenster was sich öffnet heist Windows Security Alert

und da standen schon 4 Trojaner als "Critical" Problem drin und zwar:

trojan-Downloader.WIn32.Agent.bq
trojan-clicker.Win32.Tiny.h
Trojan-Spy.HTML.Bankfraud.dq
Trojan-Spy.Win32.GreenScreen

was ich jedesmal gext hatte wenn es kahm

naja währe nett wenn ihr mir helfen könntet bis dahin erstmal danke für eure aufmerksamkeit

Alt 29.08.2008, 00:20   #2
myrtille
/// TB-Ausbilder
 
Laptop durch VIren/Trojanern verseucht . Brauche Hilfe! - Standard

Laptop durch VIren/Trojanern verseucht . Brauche Hilfe!


Hi

Antivirus XP 2008 ist ein Rogue, das heißt ein Programm, das vorgibt ein Antivirenprogramm zu sein, aber in Wirklichkeit ein Trojaner ist.
Dein Rechner ist nicht wirklich von den von Antivirus XP 2008 gefundenen Viren befallen, es will dich lediglich dazu bewegen Ihnen Geld zu überweisen.

Lade dir bitte Malwarebytes herunter und scanne damit deinen Rechner. Lass alle Funde entfernen, poste danach den Bericht von Malwarebytes und ein Log von HijackThis hier.

lg myrtille
__________________

__________________
Alt 29.08.2008, 18:22   #3
Savoir
 
Laptop durch VIren/Trojanern verseucht . Brauche Hilfe! - Standard

Laptop durch VIren/Trojanern verseucht . Brauche Hilfe!


hi danke für deine hilfe soweit ist wieder alles klar kann jetzt auch wieder auf den task manager zugreifen
ein systemwiederherstellung punkt wurde automatisch auch wieder erstellt soweit sieht alles wieder so aus wie vorher
danke dir soweit erstmal hier ist der log

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1094
Windows 5.1.2600 Service Pack 2

19:09:59 29.08.2008
mbam-log-08-29-2008 (19-09-59).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|)
Durchsuchte Objekte: 120269
Laufzeit: 59 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 38
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 16
Infizierte Dateien: 14

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\c:/windows/downloaded program files/popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0b682cc1-fb40-4006-a5dd-99edd3c9095d} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{54645654-2225-4455-44a1-9f4543d34545} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5c7f15e1-f31a-44fd-aa1a-2ec63aaffd3a} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\dpcproxy (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\hol5_vxiewer.full.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Online Add-on (Trojan.Zlob) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\mslagent (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\akl (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Video Add-on (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Desktop\luzifer1125\qip8050.exe (Adware.Sogou) -> Quarantined and deleted successfully.
C:\Programme\QIP\unqip.exe (Adware.Sogou) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6874BC31-F718-40FE-9F0B-CA731D118C9F}\RP563\A0094193.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\2_mslagent.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\mslagent.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\uninstall.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\akl\akl.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\akl.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\uninstall.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\unsetup.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery\inetdl.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery\intdel.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
__________________
Alt 29.08.2008, 18:31   #4
Savoir
 
Laptop durch VIren/Trojanern verseucht . Brauche Hilfe! - Standard

Laptop durch VIren/Trojanern verseucht . Brauche Hilfe!


hi soweit schauts alles ok sein taskmanager ist wieder verfügbar und es wurde schon ein systemwiederherstellungspunkt automatisch erstellt
aber beim posten dieses berichtes öffnete sich ein fenster dieses angebliche windows xp wirewall was ich oben geschrieben habe aber auf englisch wieder obwohl das echte auf deutsch eingestellt ist auf jedenfall sagte er ein trojaner namens
Trojan-downloader.win32.Agent.bq

poste gleich auch erstmal den log

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1094
Windows 5.1.2600 Service Pack 2

19:09:59 29.08.2008
mbam-log-08-29-2008 (19-09-59).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|)
Durchsuchte Objekte: 120269
Laufzeit: 59 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 38
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 16
Infizierte Dateien: 14

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\c:/windows/downloaded program files/popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0b682cc1-fb40-4006-a5dd-99edd3c9095d} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{54645654-2225-4455-44a1-9f4543d34545} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5c7f15e1-f31a-44fd-aa1a-2ec63aaffd3a} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\dpcproxy (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\hol5_vxiewer.full.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Online Add-on (Trojan.Zlob) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\mslagent (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\akl (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Video Add-on (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\rhcesdj0ea7v\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Andy\Desktop\luzifer1125\qip8050.exe (Adware.Sogou) -> Quarantined and deleted successfully.
C:\Programme\QIP\unqip.exe (Adware.Sogou) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6874BC31-F718-40FE-9F0B-CA731D118C9F}\RP563\A0094193.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\2_mslagent.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\mslagent.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\uninstall.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\akl\akl.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\akl.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\uninstall.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\unsetup.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery\inetdl.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery\intdel.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

Alt 29.08.2008, 18:32   #5
Savoir
 
Laptop durch VIren/Trojanern verseucht . Brauche Hilfe! - Standard

Laptop durch VIren/Trojanern verseucht . Brauche Hilfe!


hi soweit schauts alles ok sein taskmanager ist wieder verfügbar und es wurde schon ein systemwiederherstellungspunkt automatisch erstellt
aber beim posten dieses berichtes öffnete sich ein fenster dieses angebliche windows xp wirewall was ich oben geschrieben habe aber auf englisch wieder obwohl das echte auf deutsch eingestellt ist auf jedenfall sagte er ein trojaner namens
Trojan-downloader.win32.Agent.bq

den log will er nicht posten vielleicht zu lang oder so


Alt 29.08.2008, 19:02   #6
Savoir
 
Laptop durch VIren/Trojanern verseucht . Brauche Hilfe! - Standard

Laptop durch VIren/Trojanern verseucht . Brauche Hilfe!


habe dir 2 pn geschrieben weil ich hier nicht posten konnte hoffe jetzt geht es
uzusätzloch wurde noch von den angeblichen windows fenster der trojaner
Trojan-Spy.HTML.Bankfraud.bq angezeigt

Alt 29.08.2008, 19:28   #7
myrtille
/// TB-Ausbilder
 
Laptop durch VIren/Trojanern verseucht . Brauche Hilfe! - Standard

Laptop durch VIren/Trojanern verseucht . Brauche Hilfe!


Hi,

ich versteh das Problem nicht so ganz, du konntest nicht posten? Wieso nicht, bzw was war das Problem?

Offensichtlich sind noch Reste des Befalls auf deinem Rechner.

Mach daher bitte mal Folgendes:

filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Gmer
  • Lade dir GMER von dieser Seite runter und entpacke es auf deinen Desktop.
  • Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
  • Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Catchme
  • Lade dir Catchme runter auf deinen Desktop.
  • Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
  • Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
  • Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!

Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!
Alt 01.09.2008, 14:30   #8
Savoir
 
Laptop durch VIren/Trojanern verseucht . Brauche Hilfe! - Standard

Laptop durch VIren/Trojanern verseucht . Brauche Hilfe!


ok soweit erstmal alles erledigt

habe den filelist editor aktiviert und habe nur die datein geposten in den 30 tagen und bissel mehr

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C65-DBB4

Verzeichnis von C:\

31.08.2008 14:12 536.268.800 hiberfil.sys
31.08.2008 14:12 805.306.368 pagefile.sys
06.04.2008 13:02 60 PhyPath.ini
28.12.2007 15:39 211 boot.ini
28.12.2007 15:24 47.564 NTDETECT.COM
28.12.2007 15:24 251.184 ntldr
22.02.2007 22:33 0 MSDOS.SYS
22.02.2007 22:33 0 IO.SYS
22.02.2007 22:33 0 CONFIG.SYS
22.02.2007 22:33 0 AUTOEXEC.BAT
02.04.2003 14:00 4.952 bootfont.bin
11 Datei(en) 1.341.879.139 Bytes
0 Verzeichnis(se), 3.636.027.392 Bytes frei

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C65-DBB4

Verzeichnis von C:\WINDOWS\system32

31.08.2008 14:12 13.646 wpa.dbl
25.08.2008 00:48 86.016 rcfwbgxu.exe
14.08.2008 14:57 359.320 TZLog.log
26.07.2008 09:47 552 d3d8caps.dat
18.07.2008 22:10 94.920 cdm.dll
18.07.2008 22:10 53.448 wuauclt.exe
18.07.2008 22:10 45.768 wups2.dll
18.07.2008 22:10 36.552 wups.dll
18.07.2008 22:10 33.992 wucltui.dll.mui
18.07.2008 22:09 29.896 wuaucpl.cpl.mui
18.07.2008 22:09 29.896 wuapi.dll.mui
18.07.2008 22:09 215.752 wuaucpl.cpl
18.07.2008 22:09 325.832 wucltui.dll
18.07.2008 22:09 205.000 wuweb.dll
18.07.2008 22:09 563.912 wuapi.dll
18.07.2008 22:09 1.811.656 wuaueng.dll
18.07.2008 22:08 21.192 wuaueng.dll.mui

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C65-DBB4

Verzeichnis von C:\WINDOWS\Prefetch

01.09.2008 14:11 11.540 FIND.EXE-0EC32F1E.pf
01.09.2008 14:11 11.360 CMD.EXE-087B4001.pf
01.09.2008 14:11 26.644 WINRAR.EXE-3588DFE8.pf
01.09.2008 14:11 29.654 AVWSC.EXE-2F6C3C95.pf
01.09.2008 14:10 4.166 RCFWBGXU.EXE-366D4AE5.pf
01.09.2008 13:57 52.852 DFRGNTFS.EXE-269967DF.pf
01.09.2008 13:57 16.744 DEFRAG.EXE-273F131E.pf
01.09.2008 13:57 400.362 Layout.ini
01.09.2008 13:42 27.658 WMIPRVSE.EXE-28F301A9.pf
01.09.2008 13:42 20.130 WUAUCLT.EXE-399A8E72.pf
01.09.2008 13:11 13.790 CALC.EXE-02CD573A.pf
01.09.2008 12:58 20.546 RUNDLL32.EXE-327ED30F.pf
01.09.2008 10:09 68.032 AVNOTIFY.EXE-22AE9451.pf
01.09.2008 10:09 63.942 UPDATE.EXE-13D57D76.pf
01.09.2008 10:09 16.866 PREUPD.EXE-358AA1C1.pf
01.09.2008 09:47 110.808 IEXPLORE.EXE-2CA9778D.pf
01.09.2008 09:29 15.172 RTWLAN.EXE-2CE8F751.pf
01.09.2008 09:14 22.784 LOGONUI.EXE-0AF22957.pf
01.09.2008 09:13 30.270 RUNDLL32.EXE-1831A4F3.pf
01.09.2008 09:13 23.304 CONTROL.EXE-013DBFB5.pf
01.09.2008 06:48 10.798 WSCNTFY.EXE-1B24F5EB.pf
31.08.2008 21:35 15.392 VERCLSID.EXE-3667BD89.pf
31.08.2008 21:29 20.240 GUARDGUI.EXE-1BD45C30.pf
31.08.2008 16:31 74.828 WINAMP.EXE-08C38ED9.pf
31.08.2008 16:13 74.708 ACRORD32.EXE-153330F0.pf
31.08.2008 15:19 76.514 QIP.EXE-071FCCCB.pf
31.08.2008 14:17 54.362 JUCHECK.EXE-275CF176.pf
31.08.2008 14:13 1.126.756 NTOSBOOT-B00DFAAD.pf
31.08.2008 06:55 27.850 TWARNMSG.EXE-211F4D99.pf
30.08.2008 10:41 28.422 RUNDLL32.EXE-2B1340EE.pf
30.08.2008 10:37 28.418 RUNDLL32.EXE-138095BD.pf
30.08.2008 10:10 76.022 DUMPREP.EXE-1B46F901.pf
30.08.2008 10:10 169.064 HPQSTE08.EXE-1E91DFAA.pf
29.08.2008 19:24 30.616 NOTEPAD.EXE-336351A9.pf
29.08.2008 19:20 41.186 RSTRUI.EXE-03C49A96.pf
29.08.2008 19:16 18.126 TASKMGR.EXE-20256C55.pf
29.08.2008 17:55 23.762 BLPHCASDJ0EA7V.SCR-3017CED8.pf
29.08.2008 17:40 23.530 REGSVR32.EXE-25EEFE2F.pf
29.08.2008 17:39 19.808 MBAM-SETUP.TMP-04DC2FCE.pf
29.08.2008 17:39 15.768 MBAM-SETUP.EXE-2C1B25B4.pf
27.08.2008 00:31 41.730 HPRBUPDATE.EXE-06271174.pf
26.08.2008 21:02 13.576 RUNDLL32.EXE-451FC2C0.pf
26.08.2008 18:05 8.240 JAVA.EXE-2851EA55.pf
25.08.2008 16:12 279.398 HELPSVC.EXE-2878DDA2.pf
44 Datei(en) 3.285.738 Bytes
0 Verzeichnis(se), 3.635.912.704 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C65-DBB4

Verzeichnis von C:\WINDOWS

01.09.2008 13:42 1.895.630 WindowsUpdate.log
31.08.2008 19:27 192 winamp.ini
31.08.2008 14:12 0 0.log
31.08.2008 14:12 2.048 bootstat.dat
30.08.2008 10:58 1.976 SchedLgU.Txt
29.08.2008 17:59 302.188 ntbtlog.txt
28.08.2008 21:05 554.761 setupapi.log
14.08.2008 14:58 1.374 imsins.log
14.08.2008 14:58 420.638 tsoc.log
14.08.2008 14:58 171.857 iis6.log
14.08.2008 14:58 212.115 ntdtcsetup.log
14.08.2008 14:58 46.174 ocmsn.log
14.08.2008 14:58 351.007 comsetup.log
14.08.2008 14:58 15.856 KB952954.log
14.08.2008 14:58 545.835 ocgen.log
14.08.2008 14:58 54.395 msgsocm.log
14.08.2008 14:58 1.085.988 FaxSetup.log
14.08.2008 14:58 1.374 imsins.BAK
14.08.2008 14:58 11.406 KB946648.log
14.08.2008 14:57 9.890 KB953839.log
14.08.2008 14:57 16.148 KB950974.log
14.08.2008 14:57 91.963 updspapi.log
14.08.2008 14:57 29.108 KB951072-v2.log
14.08.2008 14:57 10.930 KB952287.log
14.08.2008 14:57 10.918 KB951066.log
14.08.2008 14:57 20.344 KB953838.log
29.07.2008 15:01 116 NeroDigital.ini
10.07.2008 08:17 216 wiadebug.log
10.07.2008 08:12 16.873 KB951748.log
07.07.2008 22:23 50 wiaservc.log

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C65-DBB4

Verzeichnis von C:\WINDOWS\tasks

31.08.2008 14:12 6 SA.DAT
23.08.2008 09:05 276 AppleSoftwareUpdate.job
22.08.2008 17:27 394 1-Klick-Wartung.job
07.03.2007 04:39 346 Symantec NetDetect.job
02.04.2003 14:00 65 desktop.ini
5 Datei(en) 1.087 Bytes
0 Verzeichnis(se), 3.635.900.416 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C65-DBB4

Verzeichnis von C:\WINDOWS\temp

01.09.2008 09:29 767.245 hpqddsvc.log
31.08.2008 14:12 409 WGANotify.settings
31.08.2008 14:12 255 WGAErrLog.txt
04.03.2008 01:01 595.952 ProductContextD1400.log
03.03.2008 08:05 6.209 NetFxUpdate_v1.1.4322.log

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 3C65-DBB4

Verzeichnis von C:\DOKUME~1\Andy\LOKALE~1\Temp

01.09.2008 14:11 120.214 filelist.txt
01.09.2008 14:11 22.486 x.ico
31.08.2008 14:17 99.262 jusched.log
31.08.2008 14:12 33.456 hpqddusr.log
31.08.2008 14:12 1.285 MAR9E.tmp
31.08.2008 14:12 1.342 MAR9D.tmp
31.08.2008 14:12 0 ~C.tmp
31.08.2008 14:12 0 JETE102.tmp
31.08.2008 06:52 1.285 MAR9C.tmp
31.08.2008 06:52 1.342 MAR9B.tmp
31.08.2008 06:52 0 ~B.tmp
30.08.2008 10:13 1.285 MAR9A.tmp
30.08.2008 10:13 1.342 MAR99.tmp
30.08.2008 10:13 0 ~A.tmp
30.08.2008 10:07 1.285 MAR98.tmp
30.08.2008 10:07 1.342 MAR97.tmp
30.08.2008 10:06 0 ~9.tmp
29.08.2008 19:15 1.285 MAR96.tmp
29.08.2008 19:15 1.342 MAR95.tmp
29.08.2008 19:15 0 ~4.tmp
29.08.2008 18:07 1.285 MAR94.tmp
29.08.2008 18:07 1.342 MAR93.tmp
29.08.2008 18:06 0 ~2.tmp
29.08.2008 17:47 0 .ttC2.tmp
29.08.2008 17:41 311.296 ~DFA563.tmp
29.08.2008 17:37 0 .ttBB.tmp
29.08.2008 17:27 0 .ttB5.tmp
29.08.2008 17:17 0 .ttA6.tmp
29.08.2008 17:17 1.285 MAR92.tmp
29.08.2008 17:17 1.342 MAR91.tmp
29.08.2008 17:16 0 ~8.tmp
29.08.2008 17:16 1.002 .tt6.tmp.vbs
29.08.2008 08:04 0 .ttAB.tmp
29.08.2008 07:54 0 .tt9D.tmp
29.08.2008 07:54 1.285 MAR90.tmp
29.08.2008 07:54 1.342 MAR8F.tmp
29.08.2008 07:54 0 ~7.tmp
29.08.2008 07:54 1.002 .tt5.tmp.vbs
29.08.2008 07:37 0 .ttAF.tmp
29.08.2008 07:27 0 .ttAA.tmp
29.08.2008 02:59 0 .ttA4.tmp
29.08.2008 02:49 0 .tt98.tmp
29.08.2008 02:49 1.285 MAR8E.tmp
29.08.2008 02:49 1.342 MAR8D.tmp
29.08.2008 02:49 0 ~6.tmp
29.08.2008 02:49 1.002 .tt4.tmp.vbs
29.08.2008 02:37 0 .ttD1.tmp
29.08.2008 02:27 0 .ttCF.tmp
29.08.2008 02:17 0 .ttCD.tmp
29.08.2008 02:07 0 .ttCB.tmp
29.08.2008 01:57 0 .ttC9.tmp
29.08.2008 01:47 0 .ttC7.tmp
29.08.2008 01:37 0 .ttC5.tmp
29.08.2008 01:27 0 .ttC3.tmp
29.08.2008 01:17 0 .ttC1.tmp
29.08.2008 01:07 0 .ttBC.tmp
29.08.2008 00:57 0 .ttBA.tmp
29.08.2008 00:47 0 .ttB7.tmp
29.08.2008 00:37 0 .ttB3.tmp
29.08.2008 00:27 0 .ttB0.tmp
29.08.2008 00:17 0 .ttAD.tmp
28.08.2008 21:54 0 .ttA8.tmp
28.08.2008 21:44 0 .ttA5.tmp
28.08.2008 21:34 0 .tt9F.tmp
28.08.2008 21:24 0 .tt9A.tmp
28.08.2008 21:14 0 .tt95.tmp
28.08.2008 21:14 1.285 MAR8C.tmp
28.08.2008 21:14 1.342 MAR8B.tmp
28.08.2008 21:14 0 ~5.tmp
28.08.2008 20:54 0 .ttA2.tmp
28.08.2008 20:53 1.285 MAR8A.tmp
28.08.2008 20:53 1.342 MAR89.tmp
28.08.2008 20:53 0 ~3.tmp
28.08.2008 15:47 0 .ttBE.tmp
28.08.2008 15:36 0 .ttB8.tmp
28.08.2008 15:26 0 .ttB4.tmp
28.08.2008 15:16 0 .ttB2.tmp
28.08.2008 15:06 0 .ttAE.tmp
28.08.2008 14:56 0 .ttAC.tmp
28.08.2008 14:46 0 .ttA9.tmp
28.08.2008 14:36 0 .ttA7.tmp
28.08.2008 14:26 0 .ttA3.tmp
28.08.2008 14:16 0 .ttA1.tmp
28.08.2008 14:06 0 .tt9E.tmp
28.08.2008 13:56 0 .tt9C.tmp
28.08.2008 13:46 0 .tt97.tmp
28.08.2008 13:46 0 .tt8F.tmp
28.08.2008 13:45 1.285 MAR88.tmp
28.08.2008 13:45 1.342 MAR87.tmp
28.08.2008 13:45 0 ~1.tmp
28.08.2008 11:32 0 .tt96.tmp
28.08.2008 11:22 0 .tt94.tmp
28.08.2008 11:21 0 .tt8C.tmp
28.08.2008 11:21 1.285 MAR86.tmp
28.08.2008 11:21 1.342 MAR85.tmp
28.08.2008 11:21 0 ~44.tmp
28.08.2008 11:17 0 .ttC0.tmp
28.08.2008 07:05 0 .ttBF.tmp
28.08.2008 00:38 0 .ttB6.tmp
28.08.2008 00:28 0 .tt9B.tmp
28.08.2008 00:18 0 .tt93.tmp
28.08.2008 00:08 0 .tt8E.tmp
27.08.2008 23:58 0 .tt8A.tmp
27.08.2008 23:58 1.285 MAR84.tmp
27.08.2008 23:58 1.342 MAR83.tmp
27.08.2008 23:58 0 ~43.tmp
27.08.2008 08:05 0 .ttA0.tmp
27.08.2008 07:28 0 .tt88.tmp
27.08.2008 07:28 1.285 MAR82.tmp
27.08.2008 07:28 1.342 MAR81.tmp
27.08.2008 07:28 0 ~42.tmp
27.08.2008 06:52 0 .tt91.tmp
27.08.2008 06:52 0 .tt84.tmp
27.08.2008 06:51 1.285 MAR80.tmp
27.08.2008 06:51 1.342 MAR7F.tmp
27.08.2008 06:51 0 ~41.tmp
27.08.2008 06:51 0 JETD849.tmp
27.08.2008 00:52 0 .tt99.tmp
27.08.2008 00:41 0 .tt92.tmp
27.08.2008 00:31 0 .tt90.tmp
26.08.2008 21:12 0 .tt8D.tmp
26.08.2008 21:02 0 .tt8B.tmp
26.08.2008 20:51 0 .tt89.tmp
26.08.2008 20:41 0 .tt85.tmp
26.08.2008 20:31 0 .tt82.tmp
26.08.2008 20:31 0 .tt7F.tmp
26.08.2008 20:31 1.285 MAR7E.tmp
26.08.2008 20:31 1.342 MAR7D.tmp
26.08.2008 20:31 0 ~40.tmp
26.08.2008 18:02 0 .tt87.tmp
26.08.2008 18:00 0 .tt7D.tmp
26.08.2008 18:00 1.285 MAR7C.tmp
26.08.2008 18:00 1.342 MAR7B.tmp
26.08.2008 18:00 0 ~3F.tmp
26.08.2008 15:42 0 .tt83.tmp
26.08.2008 15:32 0 .tt81.tmp
26.08.2008 15:22 0 .tt7E.tmp
26.08.2008 15:22 0 .tt7B.tmp
26.08.2008 15:21 1.285 MAR7A.tmp
26.08.2008 15:21 1.342 MAR79.tmp
26.08.2008 15:21 0 ~3E.tmp
26.08.2008 06:46 0 .tt86.tmp
26.08.2008 06:35 0 .tt7C.tmp
25.08.2008 13:21 1.285 MAR78.tmp
25.08.2008 13:21 1.342 MAR77.tmp
25.08.2008 13:21 0 ~3C.tmp
22.08.2008 14:51 1.285 MAR76.tmp
22.08.2008 14:51 1.342 MAR75.tmp
22.08.2008 07:23 1.285 MAR74.tmp
22.08.2008 07:23 1.342 MAR73.tmp
20.08.2008 00:28 1.285 MAR72.tmp
20.08.2008 00:28 1.342 MAR71.tmp
19.08.2008 07:03 1.285 MAR70.tmp
19.08.2008 07:03 1.342 MAR6F.tmp
18.08.2008 22:25 1.285 MAR6E.tmp
18.08.2008 22:25 1.342 MAR6D.tmp
15.08.2008 15:34 1.285 MAR6C.tmp
15.08.2008 15:34 1.342 MAR6B.tmp
15.08.2008 12:13 28.372 AAX6E.tmp
15.08.2008 09:24 1.285 MAR6A.tmp
15.08.2008 09:23 1.342 MAR69.tmp
14.08.2008 23:39 1.285 MAR68.tmp
14.08.2008 23:39 1.342 MAR67.tmp
14.08.2008 21:38 523.874 VGX69.tmp
14.08.2008 19:21 1.285 MAR66.tmp
14.08.2008 19:21 1.342 MAR65.tmp
13.08.2008 12:45 1.285 MAR64.tmp
13.08.2008 12:45 1.342 MAR63.tmp
13.08.2008 11:43 59.964 ~e5.0001
13.08.2008 11:42 1.285 MAR62.tmp
13.08.2008 11:42 1.342 MAR61.tmp
13.08.2008 07:03 1.285 MAR60.tmp
13.08.2008 07:03 1.342 MAR5F.tmp
08.08.2008 11:12 1.285 MAR5E.tmp
08.08.2008 11:12 1.342 MAR5D.tmp
07.08.2008 23:25 1.285 MAR5C.tmp
07.08.2008 23:25 1.342 MAR5B.tmp
30.07.2008 22:07 88 STS1F3.tmp
27.07.2008 07:02 1.285 MAR5A.tmp
27.07.2008 07:02 1.342 MAR59.tmp
26.07.2008 09:50 1.285 MAR58.tmp
26.07.2008 09:50 1.342 MAR57.tmp
24.07.2008 16:13 1.285 MAR56.tmp
24.07.2008 16:13 1.342 MAR55.tmp
24.07.2008 16:08 1.285 MAR54.tmp
24.07.2008 16:08 1.342 MAR53.tmp
21.07.2008 01:54 1.285 MAR52.tmp
21.07.2008 01:54 1.342 MAR51.tmp
19.07.2008 05:56 1.285 MAR50.tmp
19.07.2008 05:56 1.342 MAR4F.tmp
19.07.2008 05:37 1.285 MAR4E.tmp
19.07.2008 05:37 1.342 MAR4D.tmp
18.07.2008 21:09 1.248 java_install_reg.log
18.07.2008 14:21 1.285 MAR4C.tmp
18.07.2008 14:21 1.342 MAR4B.tmp
18.07.2008 06:45 1.285 MAR4A.tmp
18.07.2008 06:45 1.342 MAR49.tmp
16.07.2008 07:29 1.285 MAR48.tmp
16.07.2008 07:29 1.342 MAR47.tmp
15.07.2008 06:49 1.285 MAR46.tmp
15.07.2008 06:49 1.342 MAR45.tmp
11.07.2008 09:29 1.285 MAR44.tmp
11.07.2008 09:29 1.342 MAR43.tmp
11.07.2008 06:44 1.285 MAR42.tmp
11.07.2008 06:44 1.342 MAR41.tmp
10.07.2008 08:20 1.285 MAR40.tmp
10.07.2008 08:20 1.342 MAR3F.tmp
07.07.2008 00:50 1.285 MAR3E.tmp
07.07.2008 00:50 1.342 MAR3D.tmp
06.07.2008 12:14 1.285 MAR3C.tmp
06.07.2008 12:14 1.342 MAR3B.tmp
06.07.2008 11:03 1.285 MAR3A.tmp
06.07.2008 11:03 1.342 MAR39.tmp
04.07.2008 20:13 88 STS5A.tmp
03.07.2008 11:29 1.285 MAR38.tmp
03.07.2008 11:29 1.342 MAR37.tmp
02.07.2008 14:40 32.768 RMS5D.tmp
02.07.2008 14:40 32.768 RMS5E.tmp

Das erstmal zu filelist

Gmer:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-09-01 15:19:01
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT d347bus.sys (PnP BIOS Extension/ ) ZwClose [0xF84FC818]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreateKey [0xF84FC7D0]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreatePagingFile [0xF84F0A20]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF84F12A8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF84FC910]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwOpenKey [0xF84FC794]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryKey [0xF84F12C8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryValueKey [0xF84FC866]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwSetSystemPowerState [0xF84FC0B0]

INT 0x37 ? FE04541C

---- User code sections - GMER 1.0.14 ----

.reloc C:\WINDOWS\Explorer.EXE[296] C:\WINDOWS\Explorer.EXE section is executable [0x010FB000, 0x5000, 0x62000060]
.reloc C:\WINDOWS\Explorer.EXE[296] C:\WINDOWS\Explorer.EXE entry point in ".reloc" section [0x010FF000]
.rsrc C:\WINDOWS\system32\svchost.exe[564] C:\WINDOWS\system32\svchost.exe section is executable [0x01005000, 0x2000, 0x60000060]
.rsrc C:\WINDOWS\system32\svchost.exe[564] C:\WINDOWS\system32\svchost.exe entry point in ".rsrc" section [0x01006000]
.rsrc C:\WINDOWS\system32\winlogon.exe[916] C:\WINDOWS\system32\winlogon.exe section is executable [0x01076000, 0xC000, 0x60000060]
.rsrc C:\WINDOWS\system32\winlogon.exe[916] C:\WINDOWS\system32\winlogon.exe entry point in ".rsrc" section [0x01081000]
.rsrc C:\WINDOWS\system32\services.exe[976] C:\WINDOWS\system32\services.exe section is executable [0x0101B000, 0x2000, 0x60000060]
.rsrc C:\WINDOWS\system32\services.exe[976] C:\WINDOWS\system32\services.exe entry point in ".rsrc" section [0x0101C000]
.rsrc C:\WINDOWS\system32\svchost.exe[1164] C:\WINDOWS\system32\svchost.exe section is executable [0x01005000, 0x2000, 0x60000060]
.rsrc C:\WINDOWS\system32\svchost.exe[1164] C:\WINDOWS\system32\svchost.exe entry point in ".rsrc" section [0x01006000]
.rsrc C:\WINDOWS\system32\svchost.exe[1224] C:\WINDOWS\system32\svchost.exe section is executable [0x01005000, 0x2000, 0x60000060]
.rsrc C:\WINDOWS\system32\svchost.exe[1224] C:\WINDOWS\system32\svchost.exe entry point in ".rsrc" section [0x01006000]
.rsrc C:\WINDOWS\System32\svchost.exe[1372] C:\WINDOWS\System32\svchost.exe section is executable [0x01005000, 0x2000, 0x60000060]
.rsrc C:\WINDOWS\System32\svchost.exe[1372] C:\WINDOWS\System32\svchost.exe entry point in ".rsrc" section [0x01006000]
.rsrc C:\WINDOWS\System32\svchost.exe[1464] C:\WINDOWS\System32\svchost.exe section is executable [0x01005000, 0x2000, 0x60000060]
.rsrc C:\WINDOWS\System32\svchost.exe[1464] C:\WINDOWS\System32\svchost.exe entry point in ".rsrc" section [0x01006000]
.rsrc C:\WINDOWS\System32\svchost.exe[1708] C:\WINDOWS\System32\svchost.exe section is executable [0x01005000, 0x2000, 0x60000060]
.rsrc C:\WINDOWS\System32\svchost.exe[1708] C:\WINDOWS\System32\svchost.exe entry point in ".rsrc" section [0x01006000]

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 822E7938

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

Device \Driver\Cdrom \Device\CdRom0 81FC5620
Device \FileSystem\Rdbss \Device\FsWrap 82009210
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 81FAD2B0
Device \Driver\atapi \Device\Ide\IdePort0 81FAD2B0
Device \Driver\atapi \Device\Ide\IdePort1 81FAD2B0
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 81FAD2B0
Device \FileSystem\Srv \Device\LanmanServer 82092E90
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 82249DA8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 82249DA8
Device \FileSystem\Npfs \Device\NamedPipe 82011C10
Device \FileSystem\Msfs \Device\Mailslot 8201BC00
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 8201F4B0
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 8201F4B0
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 8201F4B0
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 8201F4B0
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 8201F4B0
Device \FileSystem\Cdfs \Cdfs 822BD030

---- Modules - GMER 1.0.14 ----

Module _________ F845A000-F8472000 (98304 bytes)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@khjeh 0x20 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40@hj34z0 0xC6 0x57 0x63 0xCA ...

---- EOF - GMER 1.0.14 ----



catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-01 15:21:51
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40]
"khjeh"=hex:20,02,00,00,d6,d6,82,9f,50,16,8c,dc,b3,fb,ff,da,aa,fc,5a,a3,f5,..
"hj34z0"=hex:c6,57,63,ca,f1,01,7f,26,a1,65,e9,45,76,49,70,9a,26,c8,cf,5f,c8,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Alt 01.09.2008, 20:21   #9
myrtille
/// TB-Ausbilder
 
Laptop durch VIren/Trojanern verseucht . Brauche Hilfe! - Standard

Laptop durch VIren/Trojanern verseucht . Brauche Hilfe!


Hi,

lade dir bitte den CCleaner herunter und bereinige dein System damit und führe anschließend folgendes durch:

Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Files to delete:
C:\windows\system32\rcfwbgxu.exe
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Poste das Log von Avenger sowie ein neues Hijackthislog heir.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!

Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!
Antwort

Themen zu Laptop durch VIren/Trojanern verseucht . Brauche Hilfe!
abgesicherten modus, antivirus, brauche hilfe, deutsch, englisch, entfernen, fehler, gelöscht, helfen, hilfe!, infiziert, internet, internetseite, laptop, neustart, problem, probleme, rechner, scan, security, seite, seiten, seiten geöffnet, taskmanager, trojaner, tune up, viren, virusprogramm, windows, windows fehler, windows security


« Firefox öffnet neue Fenster mit Werbung | Explorer.exe will sich zu "acidisa.com" verbinden »


Ähnliche Themen: Laptop durch VIren/Trojanern verseucht . Brauche Hilfe!


  1. PC bring Popup Meldung, dass PC massiv mit Viren und Trojanern verseucht sei und ist extrem langsam
    Plagegeister aller Art und deren Bekämpfung - 31.01.2015 (1)
  2. Laptop sehr langsam / sehr wahrscheinlich verseucht / Anti Viren Programme updaten nicht mehr
    Log-Analyse und Auswertung - 05.02.2013 (9)
  3. Laptop ist von Viren und Trojanern Befallen was nun ?
    Plagegeister aller Art und deren Bekämpfung - 27.02.2010 (6)
  4. Total verseucht: Rootkits, Trojaner und Viren auf Laptop, PC und ext. Festplatten
    Log-Analyse und Auswertung - 30.03.2009 (8)
  5. brauche bitte hilfe bei trojanern
    Plagegeister aller Art und deren Bekämpfung - 02.08.2008 (1)
  6. Brauche Hilfe bei der Entfernung von Trojanern
    Plagegeister aller Art und deren Bekämpfung - 22.06.2008 (4)
  7. Brauche dringend Hilfe! Neuer PC verseucht!
    Plagegeister aller Art und deren Bekämpfung - 22.06.2008 (46)
  8. infiziert mit Trojanern und Viren; brauche dringend Hilfe
    Plagegeister aller Art und deren Bekämpfung - 26.05.2008 (1)
  9. Brauche Hilfe, angst wegen vielen Trojanern!
    Log-Analyse und Auswertung - 04.12.2007 (4)
  10. Windows 2000 mit Viren und Trojanern verseucht
    Plagegeister aller Art und deren Bekämpfung - 18.11.2007 (3)
  11. ist mein PC mit trojanern oder viren verseucht????
    Mülltonne - 21.10.2007 (0)
  12. Benötige Hilfe beim Enfernen von Viren/Trojanern
    Plagegeister aller Art und deren Bekämpfung - 26.06.2007 (23)
  13. Brauche Hilfe bei Trojanern
    Log-Analyse und Auswertung - 14.06.2006 (3)
  14. hab ein paar probleme mit trojanern,brauche eure hilfe
    Log-Analyse und Auswertung - 19.04.2006 (1)
  15. Mein Rechner ist verseucht, brauche Hilfe ...
    Log-Analyse und Auswertung - 28.06.2005 (12)
  16. mein pc ist mit viren bzw. trojaner verseucht bitte um hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 04.12.2004 (1)
  17. Brauche Eure Hilfe mit Trojanern und Co.
    Plagegeister aller Art und deren Bekämpfung - 20.11.2004 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Laptop durch VIren/Trojanern verseucht . Brauche Hilfe! - Hallo Habe mich schon versucht darüber hier was zu finden über die trojanern aber vergeblich hoffe ihr könnt mir bitte helfen Vorgeschichte: durch irgendeine internet seite habe ich mir was - Laptop durch VIren/Trojanern verseucht . Brauche Hilfe!...
Archiv
Du betrachtest: Laptop durch VIren/Trojanern verseucht . Brauche Hilfe! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19