|
Log-Analyse und Auswertung: Aufforderung zur Installation von Antivirus 360Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
15.12.2008, 14:18 | #1 |
| Aufforderung zur Installation von Antivirus 360 hello all, ich habe im forum über das problem gelesen und habe einiges ausprobiert, werde das ding trotzdem net los. ich habe es versucht mit Malwarebytes los zu werden... doch das ding kommt immer wieder. es sind irgendwelche Dll-files, die nach Löschung innerhalb von sekunden wieder kommen. Problem: firefox öffnet immer wieder eine seite, wo ich aufgefordert werde Anti-virus 360 zu installieren. Unten stehend my HijackThis log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:15:41, on 15.12.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Skype\Phone\Skype.exe C:\Programme\Skype\Plugin Manager\SkypePM.exe C:\WINDOWS\system32\cmd.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Dokumente und Einstellungen\Mehran\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: (no name) - {060329fd-c137-4909-92c9-79ee3b44d5c7} - C:\WINDOWS\system32\suhireje.dll (file missing) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [kalunepagu] Rundll32.exe "C:\WINDOWS\system32\rikojine.dll",s O4 - HKLM\..\Run: [7ce43f0b] rundll32.exe "C:\WINDOWS\system32\norodifa.dll",b O4 - HKLM\..\Run: [CPM7fd70c97] Rundll32.exe "c:\windows\system32\yakiyayi.dll",a O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Append to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: c:\windows\system32\yakiyayi.dll,C:\WINDOWS\system32\noregupu.dll O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\yakiyayi.dll O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\yakiyayi.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Adaptive Server Anywhere - BDFACSApp (ASANYe_BDFACSApp) - Unknown owner - C:\Program Files\Sybase\SQL Anywhere 9\win32\dbeng9.exe (file missing) O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing) O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- End of file - 6622 bytes Malwarebytes findet immer wieder die probleme, gibt an sie gelöst zu haben. Allerdings sind sie nach dem nächsten start wieder da. Danke tausendfach für eure hilfe! LG, electron |
15.12.2008, 14:23 | #2 |
| Aufforderung zur Installation von Antivirus 360 hier ist auch noch das Malwarebytes log file. wie schon oben erwähnt, kommen diese Trjonaer immer wieder
__________________Malwarebytes' Anti-Malware 1.12 Datenbank Version: 722 Scan Art: Schnell Scan Objekte gescannt: 34506 Scan Dauer: 7 minute(s), 3 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 1 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 2 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: C:\WINDOWS\system32\norodifa.dll (Trojan.Vundo) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} (Trojan.Zlob) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\7ce43f0b (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} (Trojan.Zlob) -> No action taken. Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\norodifa.dll (Trojan.Vundo) -> No action taken. C:\WINDOWS\system32\afidoron.ini (Trojan.Vundo) -> No action taken. c:\WINDOWS\system32\yakiyayi.dll (Trojan.Zlob) -> No action taken. |
15.12.2008, 14:56 | #3 |
| Aufforderung zur Installation von Antivirus 360 Schliesse alle Fenster und starte Hijack This
__________________Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O2 - BHO: (no name) - {060329fd-c137-4909-92c9-79ee3b44d5c7} - C:\WINDOWS\system32\suhireje.dll (file missing) O4 - HKLM\..\Run: [kalunepagu] Rundll32.exe "C:\WINDOWS\system32\rikojine.dll",s O4 - HKLM\..\Run: [7ce43f0b] rundll32.exe "C:\WINDOWS\system32\norodifa.dll",b O4 - HKLM\..\Run: [CPM7fd70c97] Rundll32.exe "c:\windows\system32\yakiyayi.dll",a O20 - AppInit_DLLs: c:\windows\system32\yakiyayi.dll,C:\WINDOWS\system 32\noregupu.dll O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\yakiyayi.dll O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\yakiyayi.dll klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Update MBAM und scan nochmal Note: Wähle bei Reiter:“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“ Malwarebytes' Anti-Malware 1.12 Datenbank Version: 722 meins Malwarebytes' Anti-Malware 1.31 Datenbank Version: 1501 |
15.12.2008, 15:25 | #4 |
| Aufforderung zur Installation von Antivirus 360 danke für die prompte antwort :-) hmm, ich mehrfach in Highjackthis versucht die besagten dinge zu "fixen". sie kommen aber immer wieder ich versuche es es nochmal. LG, elelctron |
15.12.2008, 19:04 | #5 |
| Aufforderung zur Installation von Antivirus 360 gesagt, getan... mehrfach mit Highjackthis das problem "gefixt"; mit Malwarebytes den besagten Vundo-Virus entdeckt und gelöscht und trotzdem werden die drei dll-files nicht los: 1) rikojine.dll 2) noregupu.dll 3) suhireje.dll Nach jedem Run von Malwarebytes werden der gleiche verdammte Trojaner gefunden über jede hilfe tausendfach dankbar. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:58:37, on 15.12.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Dokumente und Einstellungen\Mehran\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: (no name) - {060329fd-c137-4909-92c9-79ee3b44d5c7} - C:\WINDOWS\system32\suhireje.dll (file missing) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [kalunepagu] Rundll32.exe "C:\WINDOWS\system32\rikojine.dll",s O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Append to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\WINDOWS\system32\noregupu.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Adaptive Server Anywhere - BDFACSApp (ASANYe_BDFACSApp) - Unknown owner - C:\Program Files\Sybase\SQL Anywhere 9\win32\dbeng9.exe (file missing) O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing) O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- End of file - 6058 bytes Malwarebytes' Anti-Malware 1.31 Datenbank Version: 1456 Windows 5.1.2600 Service Pack 3 15.12.2008 19:03:47 mbam-log-2008-12-15 (19-03-45).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 52416 Laufzeit: 5 minute(s), 27 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{060329fd-c137-4909-92c9-79ee3b44d5c7} (Trojan.Vundo.H) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{060329fd-c137-4909-92c9-79ee3b44d5c7} (Trojan.Vundo.H) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kalunepagu (Trojan.Vundo.H) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
15.12.2008, 19:15 | #6 |
| Aufforderung zur Installation von Antivirus 360 Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O2 - BHO: (no name) - {060329fd-c137-4909-92c9-79ee3b44d5c7} - C:\WINDOWS\system32\suhireje.dll (file missing) O4 - HKLM\..\Run: [kalunepagu] Rundll32.exe "C:\WINDOWS\system32\rikojine.dll",s O20 - AppInit_DLLs: C:\WINDOWS\system32\noregupu.dll klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst Starte Malwarebytes’Anti-Malware wähle Reiter " Weitere Programme " Klicke "Programm ausführen " unter FileASSASSIN Suche C:\WINDOWS\system32\rikojine.dll und klicke OK Mach dasselbe mit C:\WINDOWS\system32\noregupu.dll MBAM ist noch stets nicht Up-to-Date Download ComboFix und speichert es auf den Desktop! Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein Starte combofix.exe Note: Wenn ComboFix schon eher benutzt worden ist, kann es sein das eine Meldung kommt das es ein Update gibt Lass es zu das ComboFix ge-updatet wird Klicke OK im "NirCmd") Fenster klicke ja um Combofix zu starten Folge den Instruktionen in das Fenster Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" zusammen mit ein neuen log von HijackThis Befolge diese Anleitung und installiere auch den Wiederherstellungskonsole |
15.12.2008, 23:03 | #7 |
| Aufforderung zur Installation von Antivirus 360 gesagt, getan... aber das verfluchte noregupu.dll ist immer noch da und started jedes mal, wenn der rechner hochgefahren wird. mit highjackthis und Malwarebytes kriege ich das ding nicht gelöscht.... Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:00:05, on 15.12.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Mehran\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Append to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\WINDOWS\system32\noregupu.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Adaptive Server Anywhere - BDFACSApp (ASANYe_BDFACSApp) - Unknown owner - C:\Program Files\Sybase\SQL Anywhere 9\win32\dbeng9.exe (file missing) O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing) O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- End of file - 5913 bytes ComboFix 08-12-14.05 - Mehran 2008-12-15 22:39:53.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1022.696 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Mehran\Desktop\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat c:\windows\system32\noregupu.dll ----- BITS: Eventuell infizierte Webseiten ----- hxxp://77.74.48.105 . ((((((((((((((((((((((( Dateien erstellt von 2008-11-15 bis 2008-12-15 )))))))))))))))))))))))))))))) . 2008-12-15 18:05 . 2008-12-15 18:05 <DIR> d-------- C:\VundoFix Backups 2008-12-15 17:38 . 2008-12-15 17:38 <DIR> d-------- c:\programme\CCleaner 2008-12-15 15:53 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-15 02:30 . 2008-12-15 02:37 3,532 --a------ C:\drmHeader.bin 2008-12-14 18:52 . 2008-12-14 22:52 <DIR> d-------- c:\programme\Enigma Software Group 2008-12-14 18:34 . 2008-12-14 18:51 868 --a------ c:\windows\wininit.ini 2008-12-14 17:05 . 2008-12-15 12:22 <DIR> d-------- c:\programme\Spybot - Search & Destroy 2008-12-14 17:05 . 2008-12-15 12:22 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-12-14 16:34 . 2008-12-14 16:34 <DIR> d-------- c:\programme\Avira 2008-12-14 16:34 . 2008-12-14 16:34 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2008-12-14 03:35 . 2008-12-14 16:17 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\~0 2008-12-13 17:00 . 2008-12-15 15:54 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2008-12-13 17:00 . 2008-12-13 17:00 <DIR> d-------- c:\dokumente und einstellungen\Mehran\Anwendungsdaten\Malwarebytes 2008-12-13 17:00 . 2008-12-13 17:00 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-12-13 17:00 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-13 15:06 . 2008-12-13 16:52 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SITEguard 2008-12-13 15:04 . 2008-12-13 15:04 <DIR> d-------- c:\programme\Gemeinsame Dateien\iS3 2008-12-13 15:04 . 2008-12-13 17:02 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\STOPzilla! 2008-12-13 01:03 . 2008-12-13 02:27 <DIR> d-------- c:\dokumente und einstellungen\Mehran\.housecall6.6 2008-12-13 01:03 . 2008-12-13 01:03 102,664 --a------ c:\windows\system32\drivers\tmcomm.sys 2008-12-12 15:25 . 2008-12-12 15:25 <DIR> d-------- c:\programme\Lavasoft 2008-12-12 15:25 . 2008-12-13 15:01 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-12-12 13:56 . 2008-12-12 13:56 <DIR> d-------- c:\programme\Microsoft ActiveSync 2008-12-12 13:55 . 2008-12-12 13:56 <DIR> d-------- c:\windows\SHELLNEW 2008-12-12 13:55 . 2008-12-12 13:55 <DIR> d-------- c:\programme\Microsoft.NET 2008-12-12 13:51 . 2008-12-12 13:51 <DIR> dr-h----- C:\MSOCache 2008-12-12 10:54 . 2006-10-26 19:56 32,592 --a------ c:\windows\system32\msonpmon.dll 2008-12-12 10:42 . 2008-12-12 12:09 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-12-05 22:25 . 2008-12-05 22:25 <DIR> d-------- c:\programme\WebEx 2008-11-23 13:57 . 2008-12-15 15:10 54,156 --ah----- c:\windows\QTFont.qfn 2008-11-23 13:57 . 2008-11-23 13:57 1,409 --a------ c:\windows\QTFont.for . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-15 21:36 --------- d-----w c:\dokumente und einstellungen\Mehran\Anwendungsdaten\Skype 2008-12-14 17:51 --------- d-----w c:\programme\BearShare 2008-12-14 17:49 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2008-12-13 14:59 --------- d--h--w c:\programme\Installshield Installation Information 2008-12-13 14:54 --------- d-----w c:\programme\Bonjour 2008-11-12 12:59 --------- d-----w c:\programme\MSXML 4.0 2008-11-04 09:49 --------- d-----w c:\programme\Google 2008-10-27 22:55 --------- d-----w c:\programme\QuickTime 2008-10-27 02:56 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2008-10-27 02:52 --------- d-----w c:\programme\Gemeinsame Dateien\Control Panels 2008-10-27 02:48 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ALM 2008-10-27 02:09 --------- d-----w c:\programme\Gemeinsame Dateien\Macrovision Shared 2008-10-27 00:58 --------- d-----w c:\programme\RegCleaner 2008-10-26 22:25 --------- d-----w c:\programme\PowerISO 2008-10-26 19:33 --------- d-----w c:\programme\Windows Installer Clean Up 2008-10-26 19:33 --------- d-----w c:\programme\MSECACHE 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-22 16:58 --------- d-----w c:\dokumente und einstellungen\Mehran\Anwendungsdaten\EndNote 2008-10-21 13:50 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip 2008-10-21 12:50 --------- d-----w c:\dokumente und einstellungen\Mehran\Anwendungsdaten\Roxio 2008-07-15 17:52 171 ----a-w c:\programme\setup.log 2008-06-13 13:36 28,536 -c--a-w c:\dokumente und einstellungen\Mehran\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-09-13 19:58 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008091320080914\index.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=c:\windows\system32\noregupu.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "SENTINEL"= snti386.dll "msacm.avis"= ff_acm.acm [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Mehran^Startmenü^Programme^Autostart^Last.fm Helper.lnk] path=c:\dokumente und einstellungen\Mehran\Startmenü\Programme\Autostart\Last.fm Helper.lnk backup=c:\windows\pss\Last.fm Helper.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2008-10-31 10:55 24064 c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] -ra------ 2007-09-13 12:31 22880040 c:\programme\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2006-03-06 19:01 180269 c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "Adobe LM Service"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "kalunepagu"=Rundll32.exe "c:\windows\system32\rikojine.dll",s "CPM7fd70c97"=Rundll32.exe "c:\windows\system32\pofuzema.dll",a [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\BearFlix\\bearflix.exe"= "c:\\WINDOWS\\system32\\dpvsetup.exe"= "c:\\Programme\\Java\\jdk1.5.0_07\\bin\\javaw.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Analog Devices\\SoundMAX\\SMAgent.exe"= "c:\\WINDOWS\\system32\\services.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R0 R592;R592;c:\windows\system32\DRIVERS\R592.sys [2005-05-23 54912] R2 DOSMEMIO;MEMIO;\??\c:\windows\system32\MEMIO.SYS [2005-05-23 4300] S2 ASANYe_BDFACSApp;Adaptive Server Anywhere - BDFACSApp;c:\program files\Sybase\SQL Anywhere 9\win32\dbeng9.exe -hvASANYe_BDFACSApp [] S2 TmFilter;Trend Micro Filter;\??\c:\programme\Trend Micro\OfficeScan Client\TmXPFlt.sys [] S2 TmPreFilter;Trend Micro PreFilter;\??\c:\programme\Trend Micro\OfficeScan Client\TmPreFlt.sys [] S3 FLMCKUSB;AuthenTec TruePrint USB Driver (AES3500, AES4000);c:\windows\system32\Drivers\FLMckUSB.sys [2002-10-29 24076] S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2008-10-08 264704] S3 IFXTPM;IFXTPM;c:\windows\system32\DRIVERS\IFXTPM.SYS [2004-05-13 32640] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4550e0fa-9574-11dd-9043-0013771414f5}] \Shell\AutoRun\command - F:\pushinst.exe . - - - - Entfernte verwaiste Registrierungseinträge - - - - BHO-{060329fd-c137-4909-92c9-79ee3b44d5c7} - c:\windows\system32\suhireje.dll HKLM-Run-kalunepagu - c:\windows\system32\rikojine.dll . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uInternet Settings,ProxyOverride = *.local uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html IE: Append to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convert link target to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert link target to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convert selected links to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Convert selected links to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Convert selection to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert selection to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convert to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html FF - ProfilePath - c:\dokumente und einstellungen\Mehran\Anwendungsdaten\Mozilla\Firefox\Profiles\bn1etgth.default\ FF - plugin: c:\programme\Java\jre1.5.0_07\bin\NPJava11.dll FF - plugin: c:\programme\Java\jre1.5.0_07\bin\NPJava12.dll FF - plugin: c:\programme\Java\jre1.5.0_07\bin\NPJava13.dll FF - plugin: c:\programme\Java\jre1.5.0_07\bin\NPJava14.dll FF - plugin: c:\programme\Java\jre1.5.0_07\bin\NPJava32.dll FF - plugin: c:\programme\Java\jre1.5.0_07\bin\NPJPI150_07.dll FF - plugin: c:\programme\Java\jre1.5.0_07\bin\NPOJI610.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-15 22:53:24 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1156) c:\windows\system32\Ati2evxx.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-12-15 22:57:36 - PC wurde neu gestartet [Mehran] ComboFix-quarantined-files.txt 2008-12-15 21:57:33 Vor Suchlauf: 14 Verzeichnis(se), 44,497,518,592 Bytes frei Nach Suchlauf: 14 Verzeichnis(se), 44,427,010,048 Bytes frei 189 --- E O F --- 2008-12-12 02:02:58 |
16.12.2008, 00:31 | #8 |
| Aufforderung zur Installation von Antivirus 360 cfscript Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. [quote] File:: c:\windows\system32\rikojine.dll c:\windows\system32\pofuzema.dll Folder:: C:\VundoFix Backups Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "kalunepagu"=- "CPM7fd70c97"=- CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen Combofix noch mal anwenden poste dann nach Neustart das neue Log |
Themen zu Aufforderung zur Installation von Antivirus 360 |
antivir, antivirus, avira, bho, bonjour, desktop, excel, firefox, helper, hijack, hijackthis, hijackthis log, hängen, installation, internet, internet explorer, konvertieren, malwarebytes' anti-malware, mozilla, object, pdf-datei, problem, sekunden, server, software, system, windows, windows xp, windows xp sp3, xp sp3 |