|
Plagegeister aller Art und deren Bekämpfung: I-net verbindung = erneutes herunterladen von virenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.11.2008, 00:42 | #1 |
| I-net verbindung = erneutes herunterladen von viren ich grüße euch, es geht um folgendes - und zwar ist auf meinem 2. pc irgend ein html virus aktiv - ich war gestern nicht da, und da hat offenbar ein kollege meinerseits, irgend etwas gemacht, keine ahnung was ! und zwar ist es eine art von html virus, der den pc extrems verlangsamt und immer mit bestehender internetverbindung erneut lädt. also habe ich das kabel gezogen - ( nach dem download & update von anti vir sowie spybot und adaware ) anschließend anti vir und spybot sowie adaware laufen lassen, hat ca 40 viren gefunden, 1 spyware sowie ca 40 malware( reg eintrag , für die deaktivierung von windows firewall, diese war auch plötzlich deaktiviert ) sowie ca 40 malware . also alles bereinigt und mit hijack einen eintrag gelöscht, der bewirkt das beim pc hochfahren internet explorer geöffnet wird. also ist der momentane status laut anti vir, ad aware und spybot : 0 spyware 0 Viren 9 malware - das sind hostfile einträge ( glaube die verhindern die aktualisierung von antivirenprogrammen ) diese 9 malware ( hostfile einträge ) lassen sich nicht bereinigen, muss ich die einträge manuell löschen in der hostfile ? müsste im windows ordner sein, oder? und wie stelle ich ab, das der html virus sich auf einmal erneut viren herunterlädt wenn ich internet anschließe ?? und kann ich sicher sein das der virus selbst weg ist, wenn das antivir es anzeigt ? es zeigte erst 33 an, dann hab ich es geupdatet - und dann hat er nochmal ein paar stück gefunden - also hab ich öfter mal das i-net an und abgesteckt, und immer wenn ich anstecke findet anti vir alle ca 15 sek viren auf dem pc - die konstant dazukommen , ist ein wichtiger pc mit sehr vielen wichtigen daten. muss man formatieren oder wie bereinige ich das ? pc ist nun auch wieder schneller geworden, aber sobald ich internet habe, lädt der pc wieder wie ein irrer :-) soll ich hijack uppen? mfg |
27.11.2008, 07:46 | #2 |
| I-net verbindung = erneutes herunterladen von viren Hi,
__________________ist das ein gewerblich genutzter PC? HJ-Log posten kann nichts schaden... chris
__________________ |
27.11.2008, 09:13 | #3 | |
| I-net verbindung = erneutes herunterladen von virenZitat:
hab heute manuell die hostfile einträge gelöscht - also mit editor geöffnet- adaware findet nichts mehr, genau so wenig wie antivir oder spybot, allerdings lädt er sich immernoch viren wenn internet anschluss besteht - also man muss sich das so vorstellen - ohne i-net anschluss scheint alles i.o. zu sein, bis auf das er nun langsamer ist als vorher - mit internet anschluss alle 10sek eine virenmeldung hj-log : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:15:25, on 27.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\RealVNC\VNC4\WinVNC4.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Companion Suite IH\MFServices.exe C:\Programme\Companion Suite IH\MFPrintServer.exe C:\Programme\Companion OneTouch\MFLaunchOT.exe C:\Programme\Multimedia Combo Set\MouseDrv.exe C:\Programme\Multimedia Combo Set\PS2USBKbdDrv.exe C:\Programme\Ulead Systems\Ulead Movie Wizard 3.2 SE VCD\uvPL.exe C:\Programme\Hp\HP Software Update\HPWuSchd2.exe C:\Programme\Hewlett-Packard\HP UT\bin\hppusg.exe C:\Programme\Hewlett-Packard\PrnStatusMX\PrnStatusMX.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\svchost.exe C:\svchost.exe C:\svchost.exe C:\svchost.exe C:\svchost.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [MFServices] "C:\Programme\Companion Suite IH\MFServices.exe" -n O4 - HKLM\..\Run: [MFPrintServer] "C:\Programme\Companion Suite IH\MFPrintServer.exe" O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [MFLaunchOT] C:\Programme\Companion OneTouch\MFLaunchOT.exe "Crystal Printer" O4 - HKLM\..\Run: [WireLessMouse ] C:\Programme\Multimedia Combo Set\MouseDrv.exe O4 - HKLM\..\Run: [WireLessKeyboard ] C:\Programme\Multimedia Combo Set\PS2USBKbdDrv.exe O4 - HKLM\..\Run: [SfWinStartInfo] C:\Programme\Sfirm32\sfWinStartupInfo.exe O4 - HKLM\..\Run: [UVS10 Preload] C:\Programme\Ulead Systems\Ulead Movie Wizard 3.2 SE VCD\uvPL.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [HPUsageTracking] "C:\Programme\Hewlett-Packard\HP UT\bin\hppusg.exe" "C:\Programme\Hewlett-Packard\HP UT\" O4 - HKLM\..\Run: [PrnStatusMX] C:\Programme\Hewlett-Packard\PrnStatusMX\PrnStatusMX.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Policies\Explorer\Run: [Msn] c:\svchost.exe O4 - HKCU\..\Policies\Explorer\Run: [MsnHost] c:\svchost.exe O4 - HKCU\..\Policies\Explorer\Run: [MsnLoad] c:\svchost.exe O4 - HKCU\..\Policies\Explorer\Run: [MsnConvert] c:\svchost.exe O4 - HKCU\..\Policies\Explorer\Run: [MsnMessendger] c:\svchost.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ? O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{12DE2225-1EA7-4795-B3A9-7810DBCEA18F}: NameServer = 192.168.0.1 O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: winvnc - Olivetti & Oracle Research Lab - c:\vnc\winvnc.exe O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe O24 - Desktop Component 0: Aqua Garden - 6423CD5F-D089-4BF1-88B6-6A359339DAFF -- End of file - 8647 bytes |
27.11.2008, 09:19 | #4 |
| I-net verbindung = erneutes herunterladen von viren Lade diese Datei bei virustotal hoch und poste das Ergebniss C:\svchost.exe |
27.11.2008, 09:26 | #5 | |
| I-net verbindung = erneutes herunterladen von virenZitat:
damit hab ich diese überprüft, nachdem ich 4 -5 svchost prozesse beendet habe, es kam dabei raus, das nichts drauf ist überall wird 0 angegeben ------ Panda ActiveScan Panda ActiveScan findet und löscht online Viren, Würmer und Trojaner. Kaspersky Online Virenscanner Bei Kaspersky Online Virenscanner können Sie eine oder mehrere Verdächtige Datei(en) auf einen speziellen Server hochladen und dort von Kaspersy Anti-Virus überprüfen lassen. ---- und es war offenbar ein svchost - hab einfach mal 4 stück beendet - nun lädt er nichts mehr , wie ist nun der nächste schritt ? ist das eine datei oder nur ein startprozess Geändert von DigitalDeath (27.11.2008 um 09:43 Uhr) |
27.11.2008, 09:51 | #6 |
| I-net verbindung = erneutes herunterladen von viren Hi, das Problem ist das hier: die Korrekte SVCHOST.EXE: C:\WINDOWS\system32\svchost.exe die mit den Trojanern: C:\svchost.exe So, dann wollen wir mal: Tools runterladen, installieren und updaten und dann offline gehen (Beschreibung u. U. ausdrucken); Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\svchost.exe
Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Files to delete: C:\svchost.exe 3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O4 - HKCU\..\Policies\Explorer\Run: [Msn] c:\svchost.exe O4 - HKCU\..\Policies\Explorer\Run: [MsnHost] c:\svchost.exe O4 - HKCU\..\Policies\Explorer\Run: [MsnLoad] c:\svchost.exe O4 - HKCU\..\Policies\Explorer\Run: [MsnConvert] c:\svchost.exe O4 - HKCU\..\Policies\Explorer\Run: [MsnMessendger] c:\svchost.exe Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. Prevx: http://www.prevx.com/freescan.asp Gehe dann online und poste die ganzen Logs... Chris
__________________ --> I-net verbindung = erneutes herunterladen von viren |
27.11.2008, 10:02 | #7 |
| I-net verbindung = erneutes herunterladen von viren ok ich beginne sv chost überprüfung online ergbeniss ( rest folgt gleich ) Datei svchost.exe empfangen 2008.11.27 10:06:13 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 8/37 (21.63%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 2. Geschätzte Startzeit is zwischen 46 und 66 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.11.27.1 2008.11.27 - AntiVir 7.9.0.35 2008.11.27 HEUR/Malware Authentium 5.1.0.4 2008.11.27 - Avast 4.8.1281.0 2008.11.27 - AVG 8.0.0.199 2008.11.27 Clicker.USA BitDefender 7.2 2008.11.27 - CAT-QuickHeal 10.00 2008.11.27 - ClamAV 0.94.1 2008.11.27 - DrWeb 4.44.0.09170 2008.11.27 - eSafe 7.0.17.0 2008.11.25 Suspicious File eTrust-Vet 31.6.6231 2008.11.27 - Ewido 4.0 2008.11.26 - F-Prot 4.4.4.56 2008.11.26 - F-Secure 8.0.14332.0 2008.11.27 - Fortinet 3.117.0.0 2008.11.27 - GData 19 2008.11.27 - Ikarus T3.1.1.45.0 2008.11.27 - K7AntiVirus 7.10.534 2008.11.26 - Kaspersky 7.0.0.125 2008.11.27 - McAfee 5446 2008.11.26 Generic.dx McAfee+Artemis 5446 2008.11.26 Generic.dx Microsoft 1.4104 2008.11.27 - NOD32 3644 2008.11.26 a variant of Win32/TrojanClicker.Delf.AKM Norman 5.80.02 2008.11.26 - Panda 9.0.0.4 2008.11.27 - PCTools 4.4.2.0 2008.11.26 - Prevx1 V2 2008.11.27 - Rising 21.05.31.00 2008.11.27 - SecureWeb-Gateway 6.7.6 2008.11.27 Heuristic.Malware Sophos 4.35.0 2008.11.27 - Sunbelt 3.1.1832.2 2008.11.27 - Symantec 10 2008.11.27 - TheHacker 6.3.1.1.164 2008.11.27 - TrendMicro 8.700.0.1004 2008.11.27 - VBA32 3.12.8.9 2008.11.26 suspected of Trojan-Clicker.Delf.13 (paranoid heuristics) ViRobot 2008.11.27.1488 2008.11.27 - VirusBuster 4.5.11.0 2008.11.26 - weitere Informationen File size: 193536 bytes MD5...: f06bfc9d9c321f1f0d8881b66ea44ea2 SHA1..: a03da32e2c04f9a16f1ae84cd0f4e443c893d4c5 SHA256: eeba33e5153c390eb7dccc02c6b2cd9b89c98373df10fa4aa47b5f63713c4348 SHA512: f622542076e660e3235d3c5a1fa52761bdedcea4ccdec7a0c2a2bc375741966c bd19037aa6400be00af70cb58af15ec849ee379eff3778f938e6d56b886c96e3 ssdeep: 3072:6paVvQFb9aEXecAvMQMSeMWCJaXfFrlveyg57KIOSlOMq6lkZdtld7COxAp WA+rM:6puIFhaSecAvMQnl8tgFv96ZvxAsA+4 PEiD..: - TrID..: File type identification UPX compressed Win32 Executable (38.5%) Win32 EXE Yoda's Crypter (33.4%) Win32 Executable Generic (10.7%) Win32 Dynamic Link Library (generic) (9.5%) Win16/32 Executable Delphi generic (2.6%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x47fc50 timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x51000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x52000 0x2e000 0x2de00 7.92 5ef1d37cb55f091f0253f50b7ac9fdd1 .rsrc 0x80000 0x2000 0x1200 3.30 5ff95268589e3bc63b026737c4b71898 ( 10 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess > advapi32.dll: RegFlushKey > comctl32.dll: ImageList_Add > gdi32.dll: SaveDC > ole32.dll: OleDraw > oleaut32.dll: VariantInit > shell32.dll: SHGetMalloc > URLMON.DLL: CoInternetCreateZoneManager > user32.dll: GetDC > version.dll: VerQueryValueA ( 0 exports ) CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=f06bfc9d9c321f1f0d8881b66ea44ea2' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=f06bfc9d9c321f1f0d8881b66ea44ea2</a> packers (Kaspersky): UPX packers (F-Prot): UPX ---------- Avenger Protokoll : Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\svchost.exe" deleted successfully. Completed script processing. ******************* Finished! Terminate. Geändert von DigitalDeath (27.11.2008 um 10:14 Uhr) |
27.11.2008, 11:30 | #8 |
| I-net verbindung = erneutes herunterladen von viren ------------ MAM protokoll : Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1428 Windows 5.1.2600 Service Pack 2 27.11.2008 11:30:45 mbam-log-2008-11-27 (11-30-45).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 121287 Laufzeit: 40 minute(s), 10 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) -------- |
27.11.2008, 11:35 | #9 |
| I-net verbindung = erneutes herunterladen von viren Hi, das sieht schon mal nicht schlecht aus; Bitte noch PrevX und danach ein neues HJ-Log... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
27.11.2008, 12:28 | #10 |
| I-net verbindung = erneutes herunterladen von viren Prevx sagt : Status Clean - und hjlog hab ich vor einer stunde bereits nochmal nachgesehen - der msn eintrag ist immernoch gelöscht war es das dann , bin ich virenfrei :-) ? Geändert von DigitalDeath (27.11.2008 um 12:34 Uhr) |
27.11.2008, 13:04 | #11 |
| I-net verbindung = erneutes herunterladen von viren Hi, mit absoluter Sicherheit kann das keiner sagen... Leider sind die Leute die die Plagen herstellen immer sehr kreativ, und die Sicherheitsunternehmen immer etwas hinterher! Und in letzter Zeit häufen sich die Fälle, wo entweder unsere Werkzeuge nichts anzeigen bzw. nicht mehr zum Laufen gebracht werden können, da sieht man dann (fast) alt aus (da geht dann nur noch scannen von aussen via CD)... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
27.11.2008, 13:59 | #12 | |
| I-net verbindung = erneutes herunterladen von viren in ordnung, dann vielen dank für die hilfe !! - sehr nett & kompetent beraten denke mehr kann ich im moment nicht tun, oder ? einen schönen nachmittag noch! mfg Zitat:
|
27.11.2008, 14:55 | #13 | |
| I-net verbindung = erneutes herunterladen von viren Hi, wenn Du willst, kann Du noch nach Rootkits suchen: Avira-Antirootkit Downloade Avira Antirootkit und Scanne dein system, poste das logfile. http://dl.antivir.de/down/windows/antivir_rootkit.zip und MBR-Rootkit Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte: http://www2.gmer.net/mbr/mbr.exe Merke Dir das Verzeichnis wo Du ihn runtergeladen hast; Start->Ausführen->cmd Wechsle in das Verzeichnis des Downloads und starte durch Eingabe von mbr das Programm... Das Ergebnis sollte so aussehen: Zitat:
Backups von Avenger&Co (falls vorhanden) löschen: Falls der Rechner einwandfrei läuft, können die Backups der Bereinigungstools gelöscht werden (soweit vorhanden): C:\Qoobox - loeschen und Papierkorb leeren C:\avenger\backup.zip - loeschen und Papierkorb leeren C:\VundoFix Backups - loeschen und Papierkorb leeren C:\RVAXO-results.log -->Papierkorb leeren Systemwiederherstellung bereinigen, da nicht sicher ist, ob sich der Trojaner dort auch eingeschlichen hat: Systemwiederherstellung löschen http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen chris & out
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
28.11.2008, 10:33 | #14 |
| I-net verbindung = erneutes herunterladen von viren ------ C:\Qoobox - loeschen und Papierkorb leeren ( nicht vorhanden ) C:\avenger\backup.zip - loeschen und Papierkorb leeren ( gelöscht ) C:\VundoFix Backups - loeschen und Papierkorb leeren ( nicht vorhanden ) C:\RVAXO-results.log -->Papierkorb leeren ( nicht vorhanden ) ------ avira anti rootkit ergebniss ( hat nicht einmal 2sek gebraucht ) : Avira AntiRootkit Tool - Beta (1.0.1.17) ======================================================================================================== - Scan started Freitag, 28. November 2008 - 10:25:30 ======================================================================================================== -------------------------------------------------------------------------------------------------------- Configuration: -------------------------------------------------------------------------------------------------------- - [X] Scan files - [X] Scan registry - [X] Scan processes - [ ] Fast scan - Working disk total size : 74.53 GB - Working disk free size : 55.57 GB (74 %) -------------------------------------------------------------------------------------------------------- Scan task finished. No hidden objects detected! -------------------------------------------------------------------------------------------------------- Files: 0/0 Registry items: 0/0 Processes: 0/0 Scan time: 00:00:00 -------------------------------------------------------------------------------------------------------- Active processes: ======================================================================================================== - Scan finished Freitag, 28. November 2008 - 10:25:30 ======================================================================================================== --------- mbr rootkit ergebniss : device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK -------- hijack log : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:27:10, on 28.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\PrevxCSI\prevxcsi.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\RealVNC\VNC4\WinVNC4.exe C:\Programme\PrevxCSI\prevxcsi.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Companion Suite IH\MFServices.exe C:\Programme\Companion Suite IH\MFPrintServer.exe C:\Programme\Companion OneTouch\MFLaunchOT.exe C:\Programme\Multimedia Combo Set\MouseDrv.exe C:\Programme\Multimedia Combo Set\PS2USBKbdDrv.exe C:\Programme\Hp\HP Software Update\HPWuSchd2.exe C:\Programme\Hewlett-Packard\PrnStatusMX\PrnStatusMX.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Avira GmbH\Avira RootKit Detection\avirarkd.exe C:\DOKUME~1\Gmeiner\LOKALE~1\Temp\yifmonsl.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [MFServices] "C:\Programme\Companion Suite IH\MFServices.exe" -n O4 - HKLM\..\Run: [MFPrintServer] "C:\Programme\Companion Suite IH\MFPrintServer.exe" O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [MFLaunchOT] C:\Programme\Companion OneTouch\MFLaunchOT.exe "Crystal Printer" O4 - HKLM\..\Run: [WireLessMouse ] C:\Programme\Multimedia Combo Set\MouseDrv.exe O4 - HKLM\..\Run: [WireLessKeyboard ] C:\Programme\Multimedia Combo Set\PS2USBKbdDrv.exe O4 - HKLM\..\Run: [SfWinStartInfo] C:\Programme\Sfirm32\sfWinStartupInfo.exe O4 - HKLM\..\Run: [UVS10 Preload] C:\Programme\Ulead Systems\Ulead Movie Wizard 3.2 SE VCD\uvPL.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [HPUsageTracking] "C:\Programme\Hewlett-Packard\HP UT\bin\hppusg.exe" "C:\Programme\Hewlett-Packard\HP UT\" O4 - HKLM\..\Run: [PrnStatusMX] C:\Programme\Hewlett-Packard\PrnStatusMX\PrnStatusMX.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ? O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{12DE2225-1EA7-4795-B3A9-7810DBCEA18F}: NameServer = 192.168.0.1 O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: CSIScanner - Prevx - C:\Programme\PrevxCSI\prevxcsi.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: winvnc - Olivetti & Oracle Research Lab - c:\vnc\winvnc.exe O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe O24 - Desktop Component 0: Aqua Garden - 6423CD5F-D089-4BF1-88B6-6A359339DAFF -- End of file - 8406 bytes --------- |
28.11.2008, 10:57 | #15 |
| I-net verbindung = erneutes herunterladen von viren Hi, da kreucht schon wieder was durch die Gegend: yifmonsl.exe (C:\DOKUME~1\Gmeiner\LOKALE~1\Temp\yifmonsl.exe) Bitte umgehend online prüfen lassen (&ggf. löschen)! Der Prozess läuft, start ist nicht erkannbar, daher Silentrunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
Themen zu I-net verbindung = erneutes herunterladen von viren |
ad aware, aktiv, anti, auf einmal, download, explorer, file, firewall, folge, formatieren, gelöscht, hijack, hostfile, html, internet explorer, internetverbindung, löschen, malware, ordner, pc hochfahren, programme, spybot, spyware, update, verbindung, viren, virus, windows, windows firewall |