| |
| |||||||
Log-Analyse und Auswertung: Skriptfehler bei Ausführen von UnterhaltungssoftwareWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
30.08.2008, 11:25
| #1 |
| |  Skriptfehler bei Ausführen von Unterhaltungssoftware Sehr geehrte Damen und Herren, auf meinem Spielecomputer bekomme ich, wenn ich den Launcher eines Spiels öffne, welcher auf das Internet zugreift, einen Internet Explorer Skriptfehler, welcher folgende Daten enthält: Zeile: (leer) Zeichen: (leer) Fehler: (leer) Code: (leer) URL: (leer) Das Problem tritt auf, seitdem ich eine Datei fix_svchost.bat ausgeführt habe. (weil ich probleme mit meiner svchost.exe hatte) Das Programm tat das folgende: Code:
ATTFilter regsvr32 comcat.dll /s
regsvr32 shdoc401.dll /s
regsvr32 shdoc401.dll /i /s
regsvr32 asctrls.ocx /s
regsvr32 oleaut32.dll /s
regsvr32 shdocvw.dll /I /s
regsvr32 shdocvw.dll /s
regsvr32 browseui.dll /s
regsvr32 browseui.dll /I /s
regsvr32 msrating.dll /s
regsvr32 mlang.dll /s
regsvr32 hlink.dll /s
regsvr32 mshtmled.dll /s
regsvr32 urlmon.dll /s
regsvr32 plugin.ocx /s
regsvr32 sendmail.dll /s
regsvr32 scrobj.dll /s
regsvr32 mmefxe.ocx /s
regsvr32 corpol.dll /s
regsvr32 jscript.dll /s
regsvr32 msxml.dll /s
regsvr32 imgutil.dll /s
regsvr32 thumbvw.dll /s
regsvr32 cryptext.dll /s
regsvr32 rsabase.dll /s
regsvr32 inseng.dll /s
regsvr32 iesetup.dll /i /s
regsvr32 cryptdlg.dll /s
regsvr32 actxprxy.dll /s
regsvr32 dispex.dll /s
regsvr32 occache.dll /s
regsvr32 occache.dll /i /s
regsvr32 iepeers.dll /s
regsvr32 urlmon.dll /i /s
regsvr32 cdfview.dll /s
regsvr32 webcheck.dll /s
regsvr32 mobsync.dll /s
regsvr32 pngfilt.dll /s
regsvr32 licmgr10.dll /s
regsvr32 icmfilter.dll /s
regsvr32 hhctrl.ocx /s
regsvr32 inetcfg.dll /s
regsvr32 tdc.ocx /s
regsvr32 MSR2C.DLL /s
regsvr32 msident.dll /s
regsvr32 msieftp.dll /s
regsvr32 xmsconf.ocx /s
regsvr32 ils.dll /s
regsvr32 msoeacct.dll /s
regsvr32 inetcomm.dll /s
regsvr32 msdxm.ocx /s
regsvr32 dxmasf.dll /s
regsvr32 l3codecx.ax /s
regsvr32 acelpdec.ax /s
regsvr32 mpg4ds32.ax /s
regsvr32 voxmsdec.ax /s
regsvr32 danim.dll /s
regsvr32 Daxctle.ocx /s
regsvr32 lmrt.dll /s
regsvr32 datime.dll /s
regsvr32 dxtrans.dll /s
regsvr32 dxtmsft.dll /s
regsvr32 WEBPOST.DLL /s
regsvr32 WPWIZDLL.DLL /s
regsvr32 POSTWPP.DLL /s
regsvr32 CRSWPP.DLL /s
regsvr32 FTPWPP.DLL /s
regsvr32 FPWPP.DLL /s
regsvr32 WUAPI.DLL /s
regsvr32 WUAUENG.DLL /s
regsvr32 ATL.DLL /s
regsvr32 WUCLTUI.DLL /s
regsvr32 WUPS.DLL /s
regsvr32 WUWEB.DLL /s
regsvr32 wshom.ocx /s
regsvr32 wshext.dll /s
regsvr32 vbscript.dll /s
regsvr32 scrrun.dll mstinit.exe /setup /s
regsvr32 msnsspc.dll /SspcCreateSspiReg /s
regsvr32 msapsspc.dll /SspcCreateSspiReg /s
regsvr32 /s urlmon.dll
regsvr32 /s mshtml.dll
regsvr32 /s shdocvw.dll
regsvr32 /s browseui.dll
regsvr32 /s jscript.dll
regsvr32 /s vbscript.dll
regsvr32 /s scrrun.dll
regsvr32 /s msxml.dll
regsvr32 /s actxprxy.dll
regsvr32 /s softpub.dll
regsvr32 /s wintrust.dll
regsvr32 /s dssenh.dll
regsvr32 /s rsaenh.dll
regsvr32 /s gpkcsp.dll
regsvr32 /s sccbase.dll
regsvr32 /s slbcsp.dll
regsvr32 /s cryptdlg.dll
regsvr32 /s schannel.dll
regsvr32 /s oleaut32.dll
regsvr32 /s ole32.dll
regsvr32 /s shell32.dll
regsvr32 /s initpki.dll
regsvr32 /s msscript.ocx
regsvr32 /s dispex.dll
regsvr32 jscript.dll /s
del %temp% /Q /F
net stop wuauserv
ren %windir%\system32\catroot2 catroot2.old
cd /d %windir%\SoftwareDistribution
rd /s DataStore /Q
regsvr32 wuapi.dll /s
regsvr32 wups.dll /s
regsvr32 wuaueng.dll /s
regsvr32 wucltui.dll /s
regsvr32 wuweb.dll /s
regsvr32 msxml.dll /s
regsvr32 msxml2.dll /s
regsvr32 msxml3.dll /s
regsvr32 urlmon.dll /s
net start wuauserv
exit
Sind noch andere Sachen im HJT-Logfile enthalten, die gefixt werden sollten? Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:48:42, on 29.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrB.exe C:\PROGRA~1\R2D2SO~1\R2D2KE~1\KAuthS.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\oodtray.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Alex\qip\qip.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe C:\Programme\DDC\LevelOne_USB_802.11g_Utility\LevelOneWlan.exe C:\Alex\Xfire\xfire.exe C:\WINDOWS\System32\alg.exe C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\YouTube\Uploader\youtubeuploader.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\XXX\Desktop\HiJackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.americansexonline.com/promo/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local F2 - REG:system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,winexec32.bpq, O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {10CE3FF7-24BA-4A31-817C-C77B6783B116} - C:\WINDOWS\system32\tuvSkLff.dll (file missing) O2 - BHO: (no name) - {243964B9-A456-4B24-A5CD-C15BBC15F04C} - C:\WINDOWS\system32\ljJDUlKD.dll (file missing) O2 - BHO: (no name) - {34D91F8A-8959-3DA5-62FD-B7CFB90CFF79} - (no file) O2 - BHO: (no name) - {6F1AEA2C-1487-39FD-34C4-AC297DD967B5} - (no file) O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: (no name) - {D2E8A044-DEC5-4204-BFC9-9CFB63BF1BEA} - C:\WINDOWS\system32\hgGwVPIB.dll (file missing) O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: pvnsmfor - {58A17A05-270C-4762-AB86-431018487CC5} - C:\WINDOWS\pvnsmfor.dll (file missing) O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKCU\..\Run: [QIP2005] C:\XXX\qip\qip.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: hamachi.lnk = C:\XXX\Hamachi\hamachi.exe (User 'SYSTEM') O4 - S-1-5-18 Startup: Xfire.lnk = C:\XXX\Xfire\xfire.exe (User 'SYSTEM') O4 - S-1-5-18 Startup: YouTube Uploader.lnk = C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\YouTube\Uploader\youtubeuploader.exe (User 'SYSTEM') O4 - .DEFAULT Startup: hamachi.lnk = C:\XXX\Hamachi\hamachi.exe (User 'Default user') O4 - .DEFAULT Startup: Xfire.lnk = C:\XXX\Xfire\xfire.exe (User 'Default user') O4 - .DEFAULT Startup: YouTube Uploader.lnk = C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\YouTube\Uploader\youtubeuploader.exe (User 'Default user') O4 - Startup: hamachi.lnk = C:\XXX\Hamachi\hamachi.exe O4 - Startup: Xfire.lnk = C:\XXX\Xfire\xfire.exe O4 - Startup: YouTube Uploader.lnk = C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\YouTube\Uploader\youtubeuploader.exe O4 - Global Startup: LevelOne 11g Wireless USB.lnk = C:\Programme\DDC\LevelOne_USB_802.11g_Utility\LevelOneWlan.exe O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\XXX\Startmenü\Programme\IMVU\Run IMVU.lnk O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153088955796 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153088942359 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E628D807-798D-4072-A158-864DA6A0D451}: NameServer = 192.168.27.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{F3A191B6-5A4C-41D7-9B9A-B06C3A6FB18F}: NameServer = 192.168.27.1 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O21 - SSODL: vbksrofa - {D6B785F3-A1B9-4524-8B19-3C42BD5FD9E3} - C:\WINDOWS\vbksrofa.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: R2d2 Kernel Authority (R2d2KernelAuthority) - R2d2 Software - C:\PROGRA~1\R2D2SO~1\R2D2KE~1\KAuthS.exe O23 - Service: Scramby Server (ScrambyServer) - Unknown owner - C:\XXX\Scramby\ScrambyServer.exe (file missing) O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: Voice Tuner (voicetuner) - Unknown owner - C:\XXX\ScrambyCRC\voicetunerserver.exe (file missing) |
|
30.08.2008, 11:33
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Skriptfehler bei Ausführen von Unterhaltungssoftware Hallo und
__________________ Du hast Dir mit Sicherheit Malware eingefangen, acker diese Punkte für weitere Analysen ab: 1.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe (aktuelle Version!) 2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 3.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter c:\windows\system32\winexec32.bpq
5.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten 6.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________ |
|
30.08.2008, 11:46
| #3 | ||
 | Skriptfehler bei Ausführen von Unterhaltungssoftware Okay. Dann wollen Wir mal.
__________________1) Die Seite www.virustotalcom aufsuchen und folgende Dateien hochladen: Zitat:
Zitat:
3) Erstelle ein neues HiJackThis-Logfile und poste es. 4) Dein PC könnte ein kleines Update vertragen - Aktuell ist Service Pack 3 . Update bitte erst nach der Bereinigung. //edit : root24 war schneller 
__________________ |
|
30.08.2008, 19:11
| #4 |
| |  Skriptfehler bei Ausführen von Unterhaltungssoftware Also vielen, vielen Dank für eure Hilfe, erstmal. Ich halte mich an den root, da er der Erste war. Dennoch habe ich die fehlerhaften Einträge im HJT beseitigt. Hier die Daten, die zur näheren Identifizierung meinens Problems gebraucht werden. 1) Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:54:25, on 30.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\oodtray.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrB.exe C:\PROGRA~1\R2D2SO~1\R2D2KE~1\KAuthS.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\SOUNDMAN.EXE C:\***\qip\qip.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe C:\WINDOWS\System32\svchost.exe C:\Programme\DDC\LevelOne_USB_802.11g_Utility\LevelOneWlan.exe C:\***\Xfire\xfire.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\YouTube\Uploader\youtubeuploader.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\WinRAR\WinRAR.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\***\Desktop\qlketzd.com C:\WINDOWS\System32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.americansexonline.com/promo/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local F2 - REG:system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,winexec32.bpq, O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [QIP2005] C:\***\qip\qip.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: hamachi.lnk = C:\***\Hamachi\hamachi.exe (User 'SYSTEM') O4 - S-1-5-18 Startup: Xfire.lnk = C:\***\Xfire\xfire.exe (User 'SYSTEM') O4 - S-1-5-18 Startup: YouTube Uploader.lnk = C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\YouTube\Uploader\youtubeuploader.exe (User 'SYSTEM') O4 - .DEFAULT Startup: hamachi.lnk = C:\***\Hamachi\hamachi.exe (User 'Default user') O4 - .DEFAULT Startup: Xfire.lnk = C:\***\Xfire\xfire.exe (User 'Default user') O4 - .DEFAULT Startup: YouTube Uploader.lnk = C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\YouTube\Uploader\youtubeuploader.exe (User 'Default user') O4 - Startup: hamachi.lnk = C:\***\Hamachi\hamachi.exe O4 - Startup: Xfire.lnk = C:\***\Xfire\xfire.exe O4 - Startup: YouTube Uploader.lnk = C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\YouTube\Uploader\youtubeuploader.exe O4 - Global Startup: LevelOne 11g Wireless USB.lnk = C:\Programme\DDC\LevelOne_USB_802.11g_Utility\LevelOneWlan.exe O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\***\Startmenü\Programme\IMVU\Run IMVU.lnk O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153088955796 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153088942359 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E628D807-798D-4072-A158-864DA6A0D451}: NameServer = 192.168.27.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{F3A191B6-5A4C-41D7-9B9A-B06C3A6FB18F}: NameServer = 192.168.27.1 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O21 - SSODL: vbksrofa - {D6B785F3-A1B9-4524-8B19-3C42BD5FD9E3} - C:\WINDOWS\vbksrofa.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: R2d2 Kernel Authority (R2d2KernelAuthority) - R2d2 Software - C:\PROGRA~1\R2D2SO~1\R2D2KE~1\KAuthS.exe O23 - Service: Scramby Server (ScrambyServer) - Unknown owner - C:\***\Scramby\ScrambyServer.exe (file missing) O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: Voice Tuner (voicetuner) - Unknown owner - C:\***\ScrambyCRC\voicetunerserver.exe (file missing) -- End of file - 10317 bytes 3)Diese Datei ist nicht vorhanden. 4)Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK 5)Blacklight: Code:
ATTFilter 08/30/08 13:05:26 [Info]: BlackLight Engine 1.0.70 initialized
08/30/08 13:05:26 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/30/08 13:05:26 [Note]: 7019 4
08/30/08 13:05:26 [Note]: 7005 0
08/30/08 13:05:34 [Note]: 7006 0
08/30/08 13:05:34 [Note]: 7011 1496
08/30/08 13:05:34 [Note]: 7035 0
08/30/08 13:05:34 [Note]: 7026 0
08/30/08 13:05:34 [Note]: 7026 0
08/30/08 13:05:39 [Note]: FSRAW library version 1.7.1024
08/30/08 13:26:35 [Note]: 2000 1012
08/30/08 13:26:35 [Note]: 2000 1012
08/30/08 13:27:34 [Note]: 7007 0
Code:
ATTFilter Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1097
Windows 5.1.2600 Service Pack 2
19:30:54 30.08.2008
mbam.log
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 401465
Laufzeit: 5 hour(s), 19 minute(s), 28 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 52
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{7b4fbdc1-f90e-428f-9c16-119bf113079d} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\pvnsmfor.bwgs (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\pvnsmfor.toolbar.1 (Trojan.FakeAlert) -> No action taken.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winsys2 (Spyware.OnlineGames) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\vbksrofa (Trojan.FakeAlert) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
C:\Programme\RXToolBar (Adware.RXToolbar) -> No action taken.
Infizierte Dateien:
C:\***\qip\unqip.exe (Adware.Sogou) -> No action taken.
C:\***\AutoIt\install\Aut2Exe\AutoItSC.bin (Trojan.Vundo) -> No action taken.
C:\Init.exe (Rogue.Agent) -> No action taken.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> No action taken.
C:\Sys1.exe (Trojan.Agent) -> No action taken.
C:\Sys2.exe (Trojan.Agent) -> No action taken.
C:\Sys3.exe (Trojan.Agent) -> No action taken.
C:\Sys4.exe (Trojan.Agent) -> No action taken.
C:\Sys5.exe (Trojan.Agent) -> No action taken.
C:\Sys6.exe (Trojan.Agent) -> No action taken.
C:\Sys7.exe (Trojan.Agent) -> No action taken.
C:\Sys8.exe (Trojan.Agent) -> No action taken.
C:\Sys9.exe (Trojan.Agent) -> No action taken.
C:\Sys1.tmp (Trojan.Agent) -> No action taken.
C:\Sys2.tmp (Trojan.Agent) -> No action taken.
C:\Sys3.tmp (Trojan.Agent) -> No action taken.
C:\Sys4.tmp (Trojan.Agent) -> No action taken.
C:\Sys5.tmp (Trojan.Agent) -> No action taken.
C:\Sys6.tmp (Trojan.Agent) -> No action taken.
C:\Sys7.tmp (Trojan.Agent) -> No action taken.
C:\Sys8.tmp (Trojan.Agent) -> No action taken.
C:\Sys9.tmp (Trojan.Agent) -> No action taken.
C:\boot.inx (Trojan.Agent) -> No action taken.
C:\mstc.exe (Trojan.Agent) -> No action taken.
C:\zcom.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\WinSys2.exe (Spyware.OnlineGames) -> No action taken.
C:\smss.exe (Trojan.Agent) -> No action taken.
C:\idfq.exe (Trojan.Agent) -> No action taken.
C:\mstn.exe (Trojan.Agent) -> No action taken.
C:\opgr.exe (Trojan.Agent) -> No action taken.
C:\jghp.exe (Trojan.Agent) -> No action taken.
C:\nfiu.exe (Trojan.Agent) -> No action taken.
C:\xmop.exe (Trojan.Agent) -> No action taken.
C:\ihso.exe (Trojan.Agent) -> No action taken.
C:\ator.exe (Trojan.Agent) -> No action taken.
C:\akts.exe (Trojan.Agent) -> No action taken.
C:\Tbfb.exe (Trojan.Agent) -> No action taken.
C:\asdf.dll (Trojan.Agent) -> No action taken.
C:\jriy.exe (Trojan.Agent) -> No action taken.
C:\Ufst.exe (Trojan.Agent) -> No action taken.
C:\boot.bin (Malware.Trace) -> No action taken.
C:\!!!!.exe (Trojan.Agent) -> No action taken.
C:\0xf9.exe (Trojan.Agent) -> No action taken.
C:\syst.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.
C:\atct.exe (Adware.SurfAssistant) -> No action taken.
C:\mrqt.exe (Adware.SurfAssistant) -> No action taken.
C:\uxnc.exe (Trojan.Vundo) -> No action taken.
C:\wgpo.exe (Trojan.Vundo) -> No action taken.
C:\lich.exe (Rootkit.Agent) -> No action taken.
C:\lich.sys (Rootkit.Agent) -> No action taken.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\addon.dat (Malware.Trace) -> No action taken.
6)Fehlermeldung beim Öffnen von Silent Runners.vbs: "Skriptmodul "VBScript" für Skript "C:\Dokumente und Einstellungen\***\Desktop\Zeug\Silent Runners.vbs" wurde nicht gefunden." 7)File-Upload.net - listing.txt Ich würde mich über weitere Instruktionen freuen. :-) Ich hab von Windows wirklich kaum 'ne Ahnung. |
|
30.08.2008, 21:02
| #5 |
| Gast | Skriptfehler bei Ausführen von Unterhaltungssoftware Hi, die letzte Antwort hier im Fred geb mal ich  (Verzeih mir Wurzel)Wie du siehst ist dein gesamter PC verseucht mit Rootkits, Backdoors und ähnlichem. Machs einfach kurz und schmerzlos und setz die Kiste neu auf. Bei dem Backdoor-Zoo kann man noch nichtmal mehr vermuten was manipuliert wurde. lg, Sky EDIT: Was vergessen: Ändere ALLE Passwörter von einem sauberen PC. Auch von deinen Online Games (C:\WINDOWS\system32\WinSys2.exe (Spyware.OnlineGames) -> No action taken.)! |
|
30.08.2008, 22:05
| #6 |
| | Skriptfehler bei Ausführen von Unterhaltungssoftware Ich möchte keine Autörität angreifen, und ich bin dankbar für jede Hilfe, aber von deiner Idee mit dem Neuaufsetzen halte ich relativ wenig. Erstensmal ist scheinbar keiner der Trojaner aktiv (nicht zuletzt da hier auch die meisten Ports zu sind), zweitensmal habe ich reichlich wenig Interesse an einem Neuaufsetzen. Firewall sagt, dass keine Daten ungewollt geschickt werden. Ich möchte mein System nicht neu aufsetzen, sondern einfach die Trojaner und Malware beseitigen. Außerdem möchte ich meinen, dass die dortigen Rootkits bewusst und zweckorientiert ausgeführt wurden, selbst wenn ich nicht verstehe was Ableger davon im root von C zu suchen haben. Genauso würde mich immernoch interessieren, ob das FU-Rootkit tatsächlich für die Ablage in C verantwortlich ist, d.h. in eine VM ziehen und dekompilieren... Aber das ist ja jetzt egal. Zumindest würde ich jetzt, sofern ihr nichts anderes empfehlt, die Daten per RunOnce löschen. Was halten Sie davon? |
|
31.08.2008, 02:30
| #7 | |||||
| /// TB-Ausbilder   | Skriptfehler bei Ausführen von Unterhaltungssoftware Hi, Zitat:
 Ich halte zb von der Idee sich von Malware infizieren zu lassen relativ wenig.Zitat:
 Die Trojaner haben auf deinem Rechner an verschiedenen Orten Dateien abgelegt. Sie haben sich in der Registry eingetragen und werden bei jedem Systemstart automatisch ausgeführt.Hört sich für mich an, als ob sie doch ziemlich aktiv sein könnten. Zitat:
Zitat:
Du hast die alle selbst ausgeführt, damit andere Leute auf deinen Rechner Zugriff haben oder meinst du die Malware wurde von fremden Leuten absichtlich auf deinem Rechner installiert?Zitat:
Hast du die von dir genannte Methode schon früher angewendet? Das würde die vielen Reste von Malware in deinem Hijackthislog erklären. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
31.08.2008, 14:31
| #8 | ||
| | Skriptfehler bei Ausführen von Unterhaltungssoftware Ich liebe suggestive, anmaßende Statements. Zitat:
Zitat:
Hat denn niemand 'ne Idee, warum der IE nicht mehr geht, bzw. wie ich das fixen kann? |
|
31.08.2008, 15:17
| #9 | ||
| /// TB-Ausbilder | Skriptfehler bei Ausführen von UnterhaltungssoftwareZitat:
Ich hab auch mehr Bedenken wegen der anderen Dateien und weniger wegen des Rootkits, die Dateien sehen nach SDBot aus. Zitat:
Es reicht nicht die offensichtlichen Vundodateien per RunOnce zu löschen. Deswegen empfahl ich ja, ein Programm zu nutzen, dass für solche Aufgaben programmiert wurde. Eine (wahrscheinlich nicht vollständige) List der Vundoreste: O2 - BHO: (no name) - {10CE3FF7-24BA-4A31-817C-C77B6783B116} - C:\WINDOWS\system32\tuvSkLff.dll (file missing) O2 - BHO: (no name) - {243964B9-A456-4B24-A5CD-C15BBC15F04C} - C:\WINDOWS\system32\ljJDUlKD.dll (file missing) O2 - BHO: (no name) - {34D91F8A-8959-3DA5-62FD-B7CFB90CFF79} - (no file) O2 - BHO: (no name) - {6F1AEA2C-1487-39FD-34C4-AC297DD967B5} - (no file) O2 - BHO: (no name) - {D2E8A044-DEC5-4204-BFC9-9CFB63BF1BEA} - C:\WINDOWS\system32\hgGwVPIB.dll (file missing) O3 - Toolbar: pvnsmfor - {58A17A05-270C-4762-AB86-431018487CC5} - C:\WINDOWS\pvnsmfor.dll (file missing) HKEY_CLASSES_ROOT\CLSID\{7b4fbdc1-f90e-428f-9c16-119bf113079d} (Trojan.Vundo) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken. HKEY_CLASSES_ROOT\pvnsmfor.bwgs (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\pvnsmfor.toolbar.1 (Trojan.FakeAlert) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\vbksrofa (Trojan.FakeAlert) -> No action taken. C:\***\AutoIt\install\Aut2Exe\AutoItSC.bin (Trojan.Vundo) -> No action taken. C:\Init.exe (Rogue.Agent) -> No action taken. C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> No action taken. C:\uxnc.exe (Trojan.Vundo) -> No action taken. C:\wgpo.exe (Trojan.Vundo) -> No action taken. Das System hast du dir wahrscheinlich mit dem Fix zerschossen, da scheint etwas beim de/reinstallieren der einzelnen Komponenten schiefgegangen zu sein, allerdings bin ich nicht wirklich in der Stimmung mich da jetzt durchzugooglen und zu gucken welche der 150 Komponenten für den IE zuständig ist. Ich bleib dabei: Setz neu auf, das geht schneller, ist einfacher, sauberer und sicherer. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
31.08.2008, 17:25
| #10 |
| |  Skriptfehler bei Ausführen von Unterhaltungssoftware Aaaaahhh, super, das wünschte ich mir.^^ Also ich hab jetzt mit Malwarebytes' Anti-Malware alles gefixed, was als unerwünschte Software angezeigt wurde (mit Ausnahme von "unqip.exe" natürlich, das ist der Uninstaller zu QIP, diesbezüglich werde ich mich nochmal informieren). Wenn ich jetzt einfach gucken kann, welche der im Batch-Prog aufgeführten Dateien vom IE benutzt werden, würde ich von denen funktionierende Kopien besorgen und diese dann einfach über die alten drüberkopieren. (Falls vom System gelocked natürlich mit RunOnce)  euch dreien^^EDIT: Die Datei, die root forderte, habe ich ja nicht gefunden. Hat das was zu bedeuten? Geändert von 2yt4u (31.08.2008 um 17:31 Uhr) |
|
31.08.2008, 19:31
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ |  Skriptfehler bei Ausführen von Unterhaltungssoftware Kann mich den anderen nur anschließen, Dein System gehört bei den erdrückenden Funden neu aufgesetzt. Warum meinst Du ist das nicht möglich? Keine List lass ich nicht gelten...
__________________ Logfiles bitte immer in CODE-Tags posten |
|
03.09.2008, 19:47
| #12 |
| |  Skriptfehler bei Ausführen von Unterhaltungssoftware Oho, hier gibt's noch eine zweite Seite! Nun, der PC gehört mir nicht, und für ein Neuaufsetzen müsste ich die Eigentümerin kontaktieren. Wie auch immer, zumindest scheinen die Anti-Malwaremaßnahmen geholfen zu haben. Mir ist bewusst, dass mein System im streng technischen Sinne kompromittiert ist, aber ein Neuaufsetzen würde zu viel Aufwand bedeuten - Zeit, die ich nicht habe. Eigentlich kam ich zu meinem Thread zurück, um zu verlautbaren, wie ich den IE wieder zum Laufen bekommen habe: Ich habe zuerst alle Hotfixes und Windows-Updates für den IE deinstalliert, anschließend den IE selbst. Dann reboot (natürlich die vom Deinstaller durchgeführten Veränderungen zulassen) und die Skriptfehlermeldung tritt nicht mehr auf. Danke! Ich freu mich tierisch, das das Ding wieder geht.  Und ja, ich werde die Updates selbstverständlich wieder einspielen. EDIT: Genauso, wie ich das SP3 einspielen werde. Geändert von 2yt4u (03.09.2008 um 19:54 Uhr) |
|
03.09.2008, 20:57
| #13 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ |  Skriptfehler bei Ausführen von UnterhaltungssoftwareZitat:
 Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
05.09.2008, 13:46
| #14 |
| | Skriptfehler bei Ausführen von Unterhaltungssoftware Ich mag keine derart suggestiven Statements. Ich bin der hauptsächliche Nutzer dieses PCs, aber er ist NICHT mein Eigentum. Ist doch wie, wenn ich sagen würde: "Das ist meine Frau." Trotzdem BESITZE ich die Frau nicht, denn Besitz ist eine Sachherrschaft. Wie auch immer. Hat das was zu bedeuten, dass ich die Datei nicht finden konnte, die du in deinem ersten Post hier gefordert hast? |
|
05.09.2008, 15:51
| #15 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Skriptfehler bei Ausführen von Unterhaltungssoftware Wurde die Eigentümerin des PC von der Kompromittierung in Kenntnis gesetzt? Sowas sollte man schon wissen als Eigentümer. Was das mit der Datei zu bedeuten hat...naja sie ist weg. Wurde wohl von einer der zahlreichen Tools gelöscht oder sie war schon bevor du das erste HijackThis Logfile erstellt hast. Was weg ist ist weg.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Skriptfehler bei Ausführen von Unterhaltungssoftware |
| antivir, avira, bho, bonjour, browser, canon, ctfmon.exe, desktop, excel, fehler, firefox, google, google update, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, jscript.dll, mozilla, object, pc tools spyware doctor, problem, programm, regsvr32, rundll, spyware, svchost.bat, svchost.exe, system, tuneup.defrag, usb, userinit.exe, windows, windows xp |
Linear-Darstellung
