| |
| |||||||
Log-Analyse und Auswertung: Hilfe habe fünf mal tr/dropper.gen auf dem comWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
25.01.2009, 18:28
| #1 |
 |  Hilfe habe fünf mal tr/dropper.gen auf dem com HALLO BIN NEUE HIER! ICH HABE DEN TROJANER TR/DROPPER.GEN FÜNF MAL AUF MEINEM COMPUTER HATTE AUCH SCHON NACH SYS DATEIEN GESUCHT DIE GENANNT WURDEN ICH POSTE EUCH EINFACH MAL MEINEN HijackThis LOGFILE;;; DANKE SCHON MAL IM VORAUS WENN IHR MIR HELFEN KÖNNT ICH KOMM NICHT WEITER Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:27:09, on 25.01.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\Programme\avmwlanstick\wlangui.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\dokumente und einstellungen\besitzer\lokale einstellungen\anwendungsdaten\koeyaeg.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Besitzer\Desktop\HiJackThis.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\APCMain.exe -m O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [koeyaeg] "c:\dokumente und einstellungen\besitzer\lokale einstellungen\anwendungsdaten\koeyaeg.exe" koeyaeg O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- End of file - 4793 bytes |
|
25.01.2009, 18:45
| #2 | |
  | Hilfe habe fünf mal tr/dropper.gen auf dem com Hallo und
__________________ Ich weiß jetzt nicht warum ich gerade auf diesen Text komme.  Tagebuch eines AOL Users Zitat:
1.) Deinstalliere (Start=>Systemsteuerung=>Software) folgende Programme: Code:
ATTFilter Java (veraltet)
Ad-Aware (Schrott)
Code:
ATTFilter O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [koeyaeg] "c:\dokumente und einstellungen\besitzer\lokale einstellungen\anwendungsdaten\koeyaeg.exe" koeyaeg
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
3.) Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren. ciao, andreas |
|
25.01.2009, 19:14
| #3 |
| | Hilfe habe fünf mal tr/dropper.gen auf dem com JA DANKE HAB ALLES AUSGEFÜHRT HIER DER FIXNAVI.TXT.
__________________Search Navipromo version 3.7.1 began on 25.01.2009 at 19:11:03,65 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Updated on 02.01.2009 at 19h00 by IL-MAFIOSO Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3 X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.93GHz ) BIOS : Version 5.00 R1.09.2190 USER : Besitzer ( Administrator ) BOOT : Normal boot Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Not Activated) C:\ (Local Disk) - NTFS - Total:149 Go (Free:104 Go) D:\ (CD or DVD) E:\ (USB) F:\ (USB) G:\ (USB) H:\ (USB) I:\ (USB) Search done in normal mode *** Searching for installed Software *** Favorit *** Search folders in "C:\WINDOWS" *** *** Search folders in "C:\Programme" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" *** *** Search folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Besitzer\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Besitzer\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Besitzer\startm~1\progra~1" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * * Scan in "C:\Dokumente und Einstellungen\Besitzer\lokale~1\anwend~1" * *** Search files *** *** Search specific Registry keys *** !! Following keys are not certainly all infected !! HKEY_CURRENT_USER\Software\Lanconfig *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINDOWS\system32" : * In "C:\Dokumente und Einstellungen\Besitzer\lokale~1\anwend~1" : cequcqw.dat found ! cequcqw_nav.dat found ! cequcqw_navps.dat found ! koeyaeg.exe found ! koeyaeg.dat found ! koeyaeg_nav.dat found ! koeyaeg_navps.dat found ! 3)Certificates Search : Egroup certificate found ! Electronic-Group certificate found ! Montorgueil certificate not found ! OOO-Favorit certificate found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search others known folders and files : *** Search completed on 25.01.2009 at 19:13:25,26 *** |
|
25.01.2009, 19:22
| #4 |
| | Hilfe habe fünf mal tr/dropper.gen auf dem com 1.) Rufe das Programm bitte erneut auf und wähle die Option 2
2.) Malwarebytes Antimalware ausführen und Logfile posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!) 3.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html 4.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe Editiere die Links und privaten Infos!! ciao, andreas |
|
25.01.2009, 21:45
| #5 |
| | Hilfe habe fünf mal tr/dropper.gen auf dem com hier erst mal das posting von der neuen hijackthis.exe Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:14:02, on 25.01.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\Explorer.EXE C:\Programme\avmwlanstick\wlangui.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Besitzer\Desktop\NurAerger.com O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\APCMain.exe -m O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- End of file - 3984 bytes hier das posting von Malwarebytes antimalware Malwarebytes' Anti-Malware 1.33 Datenbank Version: 1692 Windows 5.1.2600 Service Pack 3 25.01.2009 21:44:29 mbam-log-2009-01-25 (21-44-19).txt Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|H:\|I:\|) Durchsuchte Objekte: 93444 Laufzeit: 25 minute(s), 55 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Performance Center (Rogue.PCSpeedScan) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{9E44EC51-6CB9-4DF3-9C4E-899F721BFCA0}\RP77\A0014269.exe (Rogue.AscentivePerformance) -> No action taken. |
|
25.01.2009, 21:47
| #6 |
| | Hilfe habe fünf mal tr/dropper.gen auf dem com und hier das von superspyware SUPERAntiSpyware Scan Log SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware! Generated 01/25/2009 at 09:06 PM Application Version : 4.25.1012 Core Rules Database Version : 3728 Trace Rules Database Version: 1699 Scan type : Complete Scan Total Scan Time : 00:39:59 Memory items scanned : 443 Memory threats detected : 0 Registry items scanned : 4673 Registry threats detected : 1 File items scanned : 52525 File threats detected : 41 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@cms.trafficmp[3].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@zanox-affiliate[2].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@adfarm1.adition[1].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@atdmt[3].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@traffictrack[2].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ads.quartermedia[1].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ads.net2day[1].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@www.zanox-affiliate[3].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@weborama[3].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@tradedoubler[2].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@count.spring[1].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ad.zanox[3].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@serving-sys[2].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@adopt.euroclick[2].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@cgi-bin[3].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@statse.webtrendslive[4].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@im.banner.t-online[2].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@apmebf[3].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@msnportal.112.2o7[1].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@2o7[5].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@adtech[2].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ads.evendi[1].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@tto2.traffictrack[1].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ad.salebroker[2].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@zanox[3].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@de2.komtrack[3].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ad.ambiweb[2].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@bs.serving-sys[2].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@webmasterplan[2].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@www.netdebit-counter[1].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ads.heias[2].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@adultfriendfinder[1].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@count.xhit[3].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@mediaplex[1].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@pcwelt[1].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ad1.king[1].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@komtrack[1].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@www.etracker[3].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@doubleclick[1].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@indextools[4].txt Trojan.DNSChanger-Codec HKU\S-1-5-21-2052111302-1677128483-725345543-1003\Software\fcn Adware.Vundo/Variant-MSFake C:\PROGRAMME\NAVILOG1\REG.EXE |
|
25.01.2009, 22:00
| #7 |
| | Hilfe habe fünf mal tr/dropper.gen auf dem com Och. Mädchen.  Ich habe extra Zahlen davor gesetzt. Du musst die richtige Reihenfolge einhalten. Fangen wir noch einmal an: 1.) Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
2.) Starte noch einmal MalwareBytes. Diesmal klickst du nach dem Scan auf "Ausgewähltes entfernen" oder "entfernte Auswehlen". Poste das Log. 3.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe Editiere die Links und privaten Infos!! ciao, andreas |
|
27.01.2009, 18:02
| #8 |
| | Hilfe habe fünf mal tr/dropper.gen auf dem com so nun habe ich alles in reihen folge,,,,ich hoffe du kannst mir noch helfen?? Search Navipromo version 3.7.1 began on 27.01.2009 at 16:21:43,59 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Updated on 02.01.2009 at 19h00 by IL-MAFIOSO Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3 X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.93GHz ) BIOS : Version 5.00 R1.09.2190 USER : Besitzer ( Administrator ) BOOT : Normal boot Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated) C:\ (Local Disk) - NTFS - Total:149 Go (Free:104 Go) D:\ (CD or DVD) E:\ (USB) F:\ (USB) G:\ (USB) H:\ (USB) I:\ (USB) Search done in normal mode *** Searching for installed Software *** *** Search folders in "C:\WINDOWS" *** *** Search folders in "C:\Programme" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" *** *** Search folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Besitzer\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Besitzer\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Besitzer\startm~1\progra~1" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * * Scan in "C:\Dokumente und Einstellungen\Besitzer\lokale~1\anwend~1" * *** Search files *** *** Search specific Registry keys *** !! Following keys are not certainly all infected !! *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINDOWS\system32" : * In "C:\Dokumente und Einstellungen\Besitzer\lokale~1\anwend~1" : 3)Certificates Search : Egroup certificate not found ! Electronic-Group certificate not found ! Montorgueil certificate not found ! OOO-Favorit certificate not found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search others known folders and files : *** Search completed on 27.01.2009 at 16:24:20,70 *** ......................................................................... .......................................................................... Navipromo Removal version 3.7.1 started on 27.01.2009 at 16:26:06,73 Fix running from C:\Programme\navilog1 Updated on 02.01.2009 at 19h00 by IL-MAFIOSO Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3 X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.93GHz ) BIOS : Version 5.00 R1.09.2190 USER : Besitzer ( Administrator ) BOOT : Normal boot Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated) C:\ (Local Disk) - NTFS - Total:149 Go (Free:104 Go) D:\ (CD or DVD) E:\ (USB) F:\ (USB) G:\ (USB) H:\ (USB) I:\ (USB) Automatic removal with Catchme and GNS results Cleanning stage done on Reboot *** fsbl1.txt not found *** (Check that Catchme found nothing in Search Mode) *** Deleting with Backups GenericNaviSearch results *** * Deletion in "C:\WINDOWS\System32" * * Deletion in "C:\Dokumente und Einstellungen\Besitzer\lokale~1\anwend~1" * *** Deleting folders in "C:\WINDOWS" *** *** Deleting folders in "C:\Programme" *** *** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" *** *** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\Besitzer\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\Besitzer\lokale~1\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\Besitzer\startm~1\progra~1" *** *** Deleting files *** *** Deleting temporary files *** Cleaning of C:\WINDOWS\Temp done ! Cleaning of C:\Dokumente und Einstellungen\Besitzer\lokale~1\Temp done ! *** Complementary Search *** (Search specific files) 1)Deletion with backups new Instant Access files: 2)Heuristic search and deletion with backups : * In "C:\WINDOWS\system32" * * In "C:\Dokumente und Einstellungen\Besitzer\lokale~1\anwend~1" * *** Copy Registry to Safebackup folder *** Backing up Registry done ! *** Cleaning Registry *** Registry cleaned *** Certificates *** Egroup Certificate not found ! Electronic-Group Certificate not found ! Montorgueil Certificate not found ! OOO-Favorit Certificate not found ! Sunny-Day-Design-Ltd Certificate not found ! *** Search others known folders and files *** *** Cleaning stage complete on 27.01.2009 at 16:28:01,93 *** ....................................................................................................................... Malwarebytes' Anti-Malware 1.33 Datenbank Version: 1698 Windows 5.1.2600 Service Pack 3 27.01.2009 17:00:23 mbam-log-2009-01-27 (17-00-23).txt Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|H:\|I:\|) Durchsuchte Objekte: 94353 Laufzeit: 25 minute(s), 33 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Performance Center (Rogue.PCSpeedScan) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{9E44EC51-6CB9-4DF3-9C4E-899F721BFCA0}\RP77\A0014269.exe (Rogue.AscentivePerformance) -> Quarantined and deleted successfully. .................................................................................................................... SUPERAntiSpyware Scan Log SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware! Generated 01/27/2009 at 05:51 PM Application Version : 4.25.1012 Core Rules Database Version : 3730 Trace Rules Database Version: 1698 Scan type : Complete Scan Total Scan Time : 00:42:14 Memory items scanned : 442 Memory threats detected : 0 Registry items scanned : 4670 Registry threats detected : 0 File items scanned : 53381 File threats detected : 9 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@adfarm1.adition[1].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@atdmt[3].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@weborama[3].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@tradedoubler[3].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@im.banner.t-online[2].txt C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@doubleclick[1].txt Adware.Vundo/Variant-MSFake C:\PROGRAMME\NAVILOG1\REG.EXE C:\SYSTEM VOLUME INFORMATION\_RESTORE{9E44EC51-6CB9-4DF3-9C4E-899F721BFCA0}\RP132\A0035670.EXE C:\SYSTEM VOLUME INFORMATION\_RESTORE{9E44EC51-6CB9-4DF3-9C4E-899F721BFCA0}\RP134\A0036885.EXE ...................................................................................................................... Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:56:39, on 27.01.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\Programme\avmwlanstick\wlangui.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Dokumente und Einstellungen\Besitzer\Desktop\NurAerger.com O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- End of file - 3923 bytes glg nicole |
|
29.01.2009, 12:40
| #9 | |
| | Hilfe habe fünf mal tr/dropper.gen auf dem comZitat:
Die Logs sind sauber, hast du denn noch Probleme? ciao, andreas |
|
19.02.2009, 20:01
| #10 |
| | Hilfe habe fünf mal tr/dropper.gen auf dem com HI ANDREAS NEIN BIS ZUM DAMALIGEN ZEITPUNKT NICHT ABER ANSCHEINEND HAB ICH MIR DIESEN DROPPER SCHON WIEDER EINGEFANGEN UND ICH WUNDERTE MICH SCHON WARUM MEIN COM WIEDER SO LANGSAM LÄUFT;ALSO MUSS ICH DEN GANZEN SCHEISS WIEDER VON VORNE DURCHGEHEN OH MAN;DAS WIRD WIEDER EIN HANTIER;AUF JEDEN FALL ANTI VIR HAT MIR DIESE EXE HIER A004604:exe wieder als dieses pferd gemeldet,,,muss ich wieder alles von vorne machen was du mir damals schon geraten hattes??? glg nicole |
|
19.02.2009, 20:13
| #11 |
| | Hilfe habe fünf mal tr/dropper.gen auf dem com Hallo Nicole, nein, das sieht mir mehr nach Systemwiederherstellung aus. Die hatten wir beim letzten Mal nicht ausgestellt. Also holen wir das nach. 1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 2.) Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
3.) Malwarebytes Antimalware ausführen und Logfile posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!) 4.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html 5.) Poste ein neues Hijackthis Logfile. Editiere die Links und privaten Infos!! ciao, andreas |
|
| Themen zu Hilfe habe fünf mal tr/dropper.gen auf dem com |
| ad-aware, adobe, antivir, antivirus, avira, besitzer, bho, computer, desktop, einstellungen, firefox, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, performance, shortcut, skype.exe, software, stick, system, trojaner, windows, windows xp |
Linear-Darstellung
